導讀

[[123394]]

如果一個網站只需要輸入用戶名，然后點擊“登錄”按鈕，就可以成功登錄，并且其他人無法進入你的賬戶，聽起來是不是很不可思議?

—— 事實上，你輸入用戶名的時候，網站就已經認出你了。

傳統身份認證方式

互聯網上幾乎所有的網站，都在使用密碼作為用戶身份認證的方式，這一手段穩定，可靠，經久不衰。但是現在技術日新月異，各種各樣的破解、漏洞、信息泄露，使得密碼變得不那么安全。

DEFCON 2013，InsidePro小組在48小時內破解了52713組密碼 1

近幾年頻發的拖庫、撞庫事件，讓互聯網公司及廣大網民頭痛不已。網站一般會采取以下措施

提醒用戶不要使用與其他網站一樣的密碼

強制用戶增加密碼的復雜程度

要求綁定手機、郵箱作為輔助認證手段

使用動態口令裝置、USB證書

為了防止機器撞庫、破解，在頁面中加上驗證碼

但最終的實施成本都轉嫁到了用戶頭上 —— 我們需要記住每一個復雜密碼(以及與網站的對應關系)、輸入難以看清的驗證碼、查看手機短信、甚至需要隨身攜帶一堆利用率極低的密保裝置。

密碼認證有兩個難以攻克的問題：

一方面，簡單的人機交互使得機器人可以輕松模擬人的操作，為自動化的Hack工具提供了便利(驗證碼在廉價的打碼平臺面前已經形同虛設)

另一方面，一旦認證通過，系統將會建立起用戶會話(Session)，而自認證通過的那一刻起，到會話結束的這段時間里，系統并不能保證終端用戶一直都是同一個人。#p#

生物學認證方式

這種類型大家也不會陌生，一部分先進的科技已經應用到了我們的日常生活中

指紋識別

虹膜識別

臉部識別

聲紋識別

靜脈識別

眼部追蹤

這些認證技術無一例外，都需要借助外設，有的還價格不菲。并且這些手段都是強制性干預，會在用戶操作的過程中進行阻斷，得到用戶的反饋之后，方可進行認證、放行。跟傳統認證手段一樣，此種認證是無狀態、不可持續的，僅能保證在認證的那一瞬間是有效的。#p#

認知指紋(Cognitive Fingerprint)

如同上面所述的生物學特征，每個人也都有***無二的認知特征，包括處理問題的步驟，一個特定動作的執行過程，甚至思考問題的角度以及個人經驗。筆跡便是認知指紋的一種。

具體到互聯網場景，認知指紋可以包括一個人的打字節奏，鼠標移動軌跡，點擊目標的相對位置，觸摸屏幕的力度等。通過采集一系列的樣本，為用戶建立個人行為模型。研究人員稱之為behaviometrics，組合了behavioral(行為的)和biometrics(生物計量)兩個單詞。它更側重于人的行為方式，而不是物理的人體特征。

按鍵

鍵盤上每個鍵的位置不同，因此敲擊每個鍵時使用的手指，需要移動的距離，敲下的力度(持續時間)都是不同的。對于不同的按鍵組合，按下同一個鍵的方式也不盡相同。對于中文輸入，輸入法以及拼寫模式也是很重要的用戶偏好屬性。

 #p#

鼠標

鼠標在從一個點移動到另一個點，除了移動的速度的個體差異之外還有一些有趣的特征。

一般來說你不可能恰好沿著目標的方向筆直地移動鼠標，這時就會存在一個偏射角，這跟移動的距離，目標方向有很大關系。而同樣的目標，對于不同人來說產生的偏射角范圍也是有差異的。

鼠標恰好抵達目標點然后停下，這種情況也是很少見的，通常都會過頭或者偏離一些，然后再向目標區域修正，有時候可能需要修正數次，這個模型就是著名的Fitts' Law(費茨定律)

 #p#

建模與識別

除了鍵盤和鼠標的動作外，還有一些其他用戶偏好。比如翻頁，有的人喜歡用鍵盤，有的人喜歡拖滾動條，而多部分人傾向于直接使用滾輪，這些數據都可以作為建立用戶認知指紋的維度。

互聯網應用可以靜默地采集用戶在可信環境下的行為特征數據，通過不斷地建模、修正，產出認知指紋。用戶在登錄的同時，系統同樣靜默地采集當前操作用戶的認知特征，作為登錄憑據一并提交，與所登錄用戶的的認知指紋模型數據比對，便可準確識別出風險及異常，有效地保障用戶的賬戶、資金安全。

通過對所有人的認知指紋進行歸一化處理，便可得出區別于“機器人”的“自然人”特征集，因此這種手段也可以用來識別機器。如果用這項技術取代驗證碼，將大幅度提升用戶體驗。

優點

無用戶感知 - 整個過程中用戶感受不到“可見的”挑戰

可持續認證 - 會話階段的每一次操作都可以實時認證，一旦發現異常便可立即終止會話

缺點

準確率依賴模型算法準確率

難以處理個體的異常狀態。如：手特別冷的時候

行業動態

美國國防部DARPA在2012年啟動了Active Authentication4項目，意在研究一種可持續的認證方式，防止用戶登錄之后會話被惡意盜用，目前項目仍在研究階段。

瑞典初創公司BehavioSec5獲得DARPA支持并參與上述項目，目前已有相關產品。

以色列初創企業BioCatch6的主要產品也是基于認知指紋技術，不久前獲1000萬美元投資。

杭州同盾科技目前正在開發相關產品，并已就相關技術申請專利。

1.CMIYC 2013 http://contest-2013.korelogic.com/stats_27604BD8078FDB93.html ↩

2.靜脈識別 http://www.mofiria.com/en/about ↩

3.眼部追蹤 http://spie.org/x103854.xml ↩

4.Active Authenticationhttp://www.darpa.mil/OurWork/I2O/Programs/ActiveAuthentication.aspx ↩

5.BehavioWeb http://www.behaviosec.com/products/web-fraud-detection/ ↩

6.BioCatch http://www.biocatch.com/ ↩