攻略如果一个网站只需要输入用户名,然后点击“登录”按钮,你就可以登录成功,其他人无法进入你的账号,是不是听起来很不可思议??——其实在你输入用户名的时候,网站就已经认出了你。传统身份认证方式互联网上几乎所有的网站都使用密码作为用户身份认证方式,稳定、可靠、持久。但是现在技术日新月异,各种裂缝、漏洞、信息泄露,使得密码的安全性越来越低。DEFCON2013,InsidePro团队在48小时内破解了52713组密码1近年来,拖拽撞库事件频发,让互联网企业和广大网友头疼不已。网站一般会采取以下措施提醒用户不要使用与其他网站相同的密码、强制用户增加密码复杂度、要求绑定手机和邮箱作为辅助认证方式、使用动态密码设备、USB证书等。然而,最终的实施成本转嫁给了用户——我们需要记住每一个复杂的密码(以及与网站的对应关系),输入难以阅读的验证码,查看手机短信,甚至随身携带一个一堆利用率极低的安全设备。密码认证有两个难点:一方面,简单的人机交互让机器人很容易模拟人的操作,为自动化Hack工具提供方便(验证码在廉价编码平台面前毫无用处),另一方面一方面,一旦认证通过,系统就会建立一个用户会话(Session),从认证通过那一刻到会话结束,系统不能保证最终用户始终是同一个人。#p#这种生物认证,大家都很熟悉了。一些先进的技术已经应用到我们的日常生活中。指纹识别、虹膜识别、人脸识别、声纹识别、静脉识别、眼球追踪,这些身份验证技术无一例外都需要外设的帮助,而且有的价格不菲。而且,这些手段都是强制干预,在用户操作过程中会被屏蔽,只有在收到用户反馈后才能鉴权解除。与传统的认证方式一样,这种认证是无状态的、不可持续的,只能保证在认证的那一刻有效。#p#认知指纹(CognitiveFingerprint)就像上面提到的生物特征一样,每个人也有独特的认知特征,包括处理问题的步骤,具体动作的执行过程,甚至思考问题的角度和个人经历。笔迹是一种认知指纹。具体到互联网场景,认知指纹可以包括一个人的打字节奏、鼠标移动轨迹、点击目标的相对位置、触摸屏强度等,通过采集一系列样本,为用户建立个人行为模型。研究人员将其称为行为计量学,是行为和生物计量学这两个词的组合。它更多地关注人们的行为方式而不是人类的身体特征。键盘上每个键的位置不同,因此敲击每个键时使用的手指、移动的距离、敲击的力度(持续时间)都不同。对于不同的组合键,按下同一个键的方式也不同。对于中文输入,输入法和拼写模式也是重要的用户偏好属性。#p#Mouse鼠标从一点移动到另一点,除了移动速度的个体差异外,还有一些有趣的特点。一般来说,你不可能沿着目标的方向直线移动鼠标,然后会有一个偏角,这与移动的距离和目标的方向有很大关系。对于同一个目标,不同的人产生的偏转角度范围也是不同的。鼠标到达目标点然后停下来的情况非常少见。通常,它会超调或偏离一点,然后将其校正到目标区域。有时可能需要多次修正。这个模型就是大名鼎鼎的费兹定律(FeeZ'sLaw)#p#ModelingandRecognition除了键盘和鼠标的动作,还有一些其他的用户偏好。比如翻页,有的人喜欢用键盘,有的人喜欢拖动滚动条,还有很多人喜欢直接用滚轮。这些数据可以作为建立用户认知指纹的维度。互联网应用可以在可信环境中静默收集用户的行为特征数据,通过不断建模和修正产生认知指纹。在用户登录的同时,系统也会悄悄收集当前操作用户的认知特征,作为登录凭据一并提交。对比登录用户的认知指纹模型数据,可以准确识别风险和异常,有效保障用户账户和资金安全。通过对所有人的认知指纹进行归一化处理,可以获得“自然人”区别于“机器人”的特征集,因此该方法也可用于识别机器。如果用这项技术来代替验证码,将大大提升用户体验。优点无用户感知——用户全程感觉不到“看得见”的挑战可持续认证——会话阶段的每一个操作都可以实时认证,一旦发现异常,可以立即终止会话缺点精度取决于模型算法精度很难处理个体的异常状态。比如:手特别凉的时候的行业动态。美国国防部DARPA于2012年启动了ActiveAuthentication4项目,旨在研究一种可持续的身份验证方法,以防止登录后恶意窃取用户会话。该项目尚处于研究阶段。瑞典初创公司BehavioSec5获得了DARPA的支持并参与了上述项目,目前已有相关产品。以色列初创公司BioCatch6的主要产品也是基于认知指纹技术,最近获得了1000万美元的投资。杭州同盾科技目前正在研发相关产品,并已申请相关技术专利。1.CMIYC2013http://contest-2013.korelogic.com/stats_27604BD8078FDB93.html?2.静脉识别http://www.mofiria.com/en/about?3.眼动追踪http://spie.org/x103854.xml?4.ActiveAuthenticationhttp://www.darpa.mil/OurWork/I2O/Programs/ActiveAuthentication.aspx?5.BehavioWebhttp://www.behaviosec.com/products/web-fraud-detection/?6.BioCatchhttp://www.biocatch.com/?
