您的位置: 首页  >  文章  >  持续了近百万年的人类身份认证,从没有密码到消灭密码

持续了近百万年的人类身份认证,从没有密码到消灭密码

分类: 文章 2024-07-25 19:30:52

自有人类以来,身份认证的问题就已经出现。远古时期,原始人还没有发明文字,更没有所谓的技术,辨别他人的方式,就是综合他们的样貌、走路姿势、所拥有的东西等因素。在文字和文明出现后,身份认证的方式也随之多样化,比如一个人的字迹、画像、腰牌、符节、指印,等等。不管是何种认证方式,绝大多数情况下都需要本人在场。

 持续了近百万年的人类身份认证,从没有密码到消灭密码

不过,传统的身份认证在网络出现后明显“水土不服”。网络世界中的所有信息都由特定数据来表示,计算机只能识别用户的数字身份,其真实身份则很难判断。漫画家彼得·施泰纳于1993年创作的一幅漫画形象地反映了这一问题,一条在计算机面前打字的狗对另一条狗说道:“在互联网上,没有人知道你是一个人,还是一条狗。”

由此可见,作为网络信息安全的第一道防线,身份认证有着举足轻重的作用,但若要准确判断用户的身份则是难上加难。目前,对用户的身份认证方法可以分为三种:你知道什么(what you know)、你有什么(what you have)、你是谁(who you are)。下面我们分别讲一讲这三种方法的优劣,同时也很有信心地说,随着科技的进步,做自己就是最好的身份认证方式

 

你知道什么?

通俗地讲,这种方式就是根据用户知道的信息来证明其身份,我们最为熟悉、用得最广的就是“用户名+密码”,也就是静态密码的登录方式。有调查显示,平均每个网民的网络账户多达27个。如果每个账户都采用不同的复杂密码,无疑极大增加了记忆难度,定期更新密码更是一种负担

持续了近百万年的人类身份认证,从没有密码到消灭密码

因此,有将近60%的人会复用密码,其全部工作账户和个人账户的密码都是同一个;还有约20%的人使用极易被**的弱密码;更有甚者,哪怕在个人账户被黑客攻击之后,也有45%的人不去修改密码。

而且,静态密码的安全性很低,很容易遭受各种形式的攻击,比如暴力**、撞库、钓鱼邮件、木马病毒,等等。一旦被盗,就可能造成最大程度的损失,在损失发生前,通常还不知道静态密码已经泄漏。因密码失窃而导致的信息泄漏事件不胜枚举。

总结起来,静态密码的优势是:使用和部署非常简单缺点则是:用户记忆难度大,且安全等级非常低


你有什么?

这种方式是根据用户拥有的东西来证明其身份,主要有短信验证码、硬件设备、手机软令牌等。

短信验证码:我们对此也很熟悉。其优势是使用门槛低,维护较为容易。但面临的安全威胁也非常多:信令漏洞、短信木马、伪基站等均能轻易攻破这一防线

持续了近百万年的人类身份认证,从没有密码到消灭密码

U盾等硬件设备:由于用户私钥保存在密码锁中,理论上用任何方式都无法获取,所以保证了身份认证的安全性。但是硬件设备成本较高,且携带不方便,一旦丢失,也就不能“证明你是你”了。

手机软令牌:可以说是硬件设备的APP版本,解决了硬件设备携带不便的问题,是目前最安全的身份认证技术之一。但是,它仍然存在用户使用不够方便的问题:一方面,每隔30秒就变换一次动态口令,用户输入超时的情况时有发生;另一方面,用户每次登录都要输入一串无规律的密码,一旦输错就要重新来过


你是谁?

这种方式是根据每个人独有的身份特征来证明其身份,主要指的就是指纹、人脸 、声纹等生物识别。不可否认,在正常情况下,生物识别的使用体验的确非常方便,极大地提升了身份认证的便捷性。但是,其安全性也备受质疑
持续了近百万年的人类身份认证,从没有密码到消灭密码

首先,这些生物特征均能用低成本方式收集;其次,在AI时代,**、伪造和复制生物特征的手段也层出不穷;再次,恶意用户也可用AI对抗AI的方式(比如污染训练数据、生成对抗样本,以及大量依赖三方包的深度学习库也极有可能被挖掘出漏洞等),一定程度上绕过检测

以人脸识别为例,一种名为CycleGAN的深度学习模型就能轻松实现将一类图片转换成另一类图片。利用AI技术,已经能够伪造极度仿真的公众人物声音、神态及动作,生成难以识别的虚假视频。


你就是你:用AI技术“返祖”

还记得文章开头讲到的原始人,通过辨认对方的行为特征来进行身份认证吗?即便是现在,很多人依然能根据一个人的走路姿态或身形特征,从很远的地方辨认出对方。可以说,这是人类在漫长的岁月中进化得来的一种能力。

 持续了近百万年的人类身份认证,从没有密码到消灭密码

那么,在AI如此火爆的今天,是不是也能通过人工智能的方法反复训练,让机器“进化”出这样的能力呢?

答案是肯定的。

已有研究表明,每个用户在操作手机和PC时,都有着各自独特的行为特征。举个简单的例子,仅就打字而言,有的键有人按得稍快,有人按得会稍慢;每人从一个键跳到另一个键的时间间隔也有差异。当然,行为特征是多维度的,不仅限于此。

通过信号采集和机器学习,从用户看似无规律的操作行为数据中,提取出可用的行为特征。最终的结果就是:每个人的动作、行为都是有规律的,而且是独特、不可复制的

说白了,你独一无二的行为特征,都会被AI技术采集和深度学习,身份认证就在你“做自己”的时候完成了,而这个过程,你是无感知的。就像你通过行为辨认熟人,对方也是在做自己,而你辨认他/她的过程,对方是没有感知到的。

听上去很神奇,但在技术上确实行得通。去年2月份举办的RSA 2017大会上,在有着“安全界奥斯卡”的创新沙盒大赛中,一家名为Unify ID的公司就凭借其基于行为识别的“无感知身份认证”技术一举夺得冠军,让更多人见识到了黑科技一般的行为识别所具有的广阔前景。

其实在国内,锦佰安科技也在做着同样的事情,并且已经研发出相关产品——SecID AI行为识别身份认证系统。SecID应用了卷积神经网络、循环神经网络、贝叶斯、LSTM等技术,其背后则是一只有着15年安全攻防经验的开发团队。
持续了近百万年的人类身份认证,从没有密码到消灭密码

由于每个人的行为特征都是独一无二的,在应用SecID后,即便用户名和密码被黑客窃取,后者也无法登录账户。可以说,密码是什么已不再重要,重要的是用户独特的行为特征本身。


无感知才是身份认证的未来

随着技术的进一步发展,身份认证最终将是十分自然的:通过多项行为指标进行身份认证,只要行为特征得分超过一定数值,系统即可判断用户身份,整个过程甚至根本不再需要输入各种复杂的密码。不仅没有牺牲便捷性,而且还提高了安全性。我们相信,密码终将会成为历史。

相关推荐