身份認證的下一個指向智能機器的進步為擊鍵的身份認證服務鋪平了道路

Lucian+Constantin

生物認證技術通過每個人特有的生理特征，如指紋、掌紋、人臉、虹膜等，或行為特征，如筆跡、語音等進行身份認證。由于這些特征在很大程度上具有唯一性和不可模仿性，極大地減少了用戶被冒名頂替的風險。 隨著生物認證技術的發展成熟，在很多領域已經得到了成功的應用。 鍵盤作為計算機的標準外設是普通計算機都有的，能否以人們不同的擊鍵習慣作為特征，認證擊鍵者的身份呢？ 基于人們的擊鍵輸入方式對人進行識別或者身份認證并不是什么新想法，但是由于人工智能的進步，現在能夠以非常高的準確度進行認證，從而使其可以替代其他形式的生物特征識別方法。 擊鍵動力學的原理是人在正常鍵盤使用期間，按鍵按壓和釋放之間的時序存在著唯一的模式。羅馬尼亞初創公司的首席執行官和數據科學家Raul Popa說，通過使用傳統的統計分析和數學方程，這種基于擊鍵的“指紋”與個人匹配的準確度在60%到70%之間變化。 已經進行了多年研究的鍵盤或擊鍵生物特征識別方法，因準確度不高，使其無法作為身份認證方法而被廣泛采用。一些供應商在過去十年投入了大量資金，試圖提高擊鍵生物特征識別的精度，但是真正的成功是在過去二三年中隨著機器學習的進步而取得的。 Popa已經利用智能技術來開發擊鍵模式識別技術，他聲稱其準確率超過了99%，甚至可以達到99.9%——前提是隨著時間發展而為用戶建立起足夠大的擊鍵參數文件。 該技術涉及記錄關于用戶怎樣鍵入的小段信息，例如從一個鍵移動到另一個鍵所花費的時間，或者每個鍵被持續按壓的時間。這用于創建表示為由320個值組成的特征向量的唯一鍵入模式。 按鍵識別并不意味著替代密碼或單獨用于身份認證方法。相反，它可以用在多因素身份認證系統中，并且比其他形式的生物特征識別驗證方法更容易實現。 使用指紋、面部或者語音識別方法時，網站要求用戶允許訪問其麥克風、網絡攝像頭或者指紋讀取器。而收集構建擊鍵模式所需的數據可以從JavaScript中完成。除了瀏覽器中默認的網站已經擁有的權限之外，不需要額外的權限。 據Popa表示，為了構建擊鍵參數文件，羅馬尼亞初創公司的技術要求用戶至少輸入60～70個字符，但這可以根據所使用的服務而有所不同。 例如，需要頻繁地檢查用戶身份的應用程序可以使用170～180個字符的長文本進行初始注冊，然后在執行驗證時使用較短的文本。同時，對于很少需要驗證用戶身份的應用程序（例如，密碼重置嘗試），注冊文本可以更短，而驗證文本可以更長。 Popa說，使用各種技術，技術上支持使用一種或者多種擊鍵識別算法。他說，這就是為什么羅馬尼亞初創公司使用10種不同算法的原因。這樣，系統更容易應對潛在的欺詐嘗試。 畢竟，擊鍵模式和其他類型的生物特征識別技術一樣易于克隆。正如攻擊者可以復制某人的指紋，記錄某人的聲音或者獲得某人臉部的高分辨率圖片，理論上可以記錄某人在很長一段時間內如何擊鍵，然后復制，從而攻破基于擊鍵的驗證方法。 在討論擊鍵生物特征識別技術時常常出現的一個問題是，如何處理可能影響用戶輸入風格的各種意外事件。例如，當用戶喝醉了或者頭暈眼花的時候，他們可能是很慢地擊鍵，同時產生很多的錯誤，這會改變他們的擊鍵參數。事故也可能暫時讓用戶無法正常地使用他們的一只手。 羅馬尼亞初創公司的智能系統足以知道用戶在半邊鍵盤上能夠正常的鍵入，而另一半卻不同，這表明他們的一只手有問題。這可以通過要求用戶鍵入較長的文本，以便收集來自未受影響的一半的更多數據，去補償另一半鍵盤上較低的分數。 如果擊鍵整體風格變化太大，身份認證成功還是失敗，則取決于配置的精度閾值。 針對一個人在一段時間內擊鍵有稍微變化的情況，系統還可以執行所謂的連續注冊，隨著時間而收集到的新的擊鍵信息會被補充到用戶的擊鍵參數中。例如，從每一擊鍵驗證文本收集的新數據，可以用于刷新用戶存儲的擊鍵模式。 羅馬尼亞初創公司通過API（應用程序編程接口）來訪問基于擊鍵的身份驗證服務，開發人員可以通過軟件開發工具包將這些功能添加到其Web應用程序中。 該公司還在開發用于執行“連續身份認證”的臺式機和筆記本電腦應用程序。應用程序位于后臺，學習計算機所有者的擊鍵模式，然后，當程序沒有被鎖定處于無人值守狀態時，未授權的用戶嘗試使用計算機時，它可以快速鎖定這些用戶。 除了身份認證，擊鍵模式分析還有其他應用。這家公司目前正在對用戶資料領域進行研究，并開發了一個試驗系統，試圖根據他們擊鍵的方式來確定一個人的性別、年齡、智商、外向/內向以及個性（Myers-Briggs擊鍵指標）。 在過去幾年中，網絡服務提供商公布的大量數據泄露事件清楚地表明，基于密碼的身份驗證是不夠的。雙重身份驗證系統通常基于通過短信發送，或者由移動應用程序生成的一次性使用的驗證碼。現在這已經很普及了。 但是SMS不是用于發送驗證碼的安全信道，并且也不是所有的用戶都有移動電話。人工智能擊鍵生物特征識別技術是一種可行的網絡替代方案，比需要訪問某些外設的任何其他形式的生物特征識別技術更可行。 （作者Lucian Constantin是IDG新聞服務記者。他撰寫關于信息安全、隱私和數據保護的文章。）endprint