鍵盤敲擊識別技術真的靠譜嗎?
所有人都知道密碼是靠不住的。于是現在有一個有意思的行為生物識別是“你是如何打字的”,或稱為輸入行為生物識別技術。
生物識別正在廣泛推廣
大多數網絡用戶在選擇密碼時都十分大意:在不同地方使用相同的密碼或者總是設置易破解的弱密碼。如果對于這樣的錯誤視而不見,那么他們的電腦總能感染可以監控你鍵盤敲擊以及盜取登錄憑證的間諜軟件。
能夠更加充分地證明登錄者就是本人,顯然會大大提升很多網站(尤其是網上銀行)的“幸福指數”。一些在線服務解決這個問題的方式之一便是采用雙重認證,可能要求用戶輸入一個隨機生成的密碼。攻擊者可能會獲得你的密碼,同樣他們也很可能物理獲取顯示隨機PIN值的設備。
然而,身份驗證可以做到的遠遠不止這樣,它不僅要檢測你是否知道你的密碼,以及你的密碼是什么,更要知道你是誰(如iPhone中TouchID就是對生物識別的應用)。
現在有一個有意思的行為生物識別是“你是如何打字的”,或稱為輸入行為生物識別技術。
擊鍵識別技術
真實情況就是人在打字的方式是有不同的。而這種差異很大程度上是視覺無法捕捉到的,但是電腦卻可以通過觀察區分出不同的打字者。例如,你敲擊不同按鈕時所間隔的時間、你指尖按壓每個字符按鈕的時長、你敲擊某串特殊字符的時間,等等諸如此類。
這些測量結果對于大腦來說十分細微,難以察覺,但是電腦則可以測量出精確到毫秒的事件。
如果你是從安全角度看這個問題,那確實很酷。已經有幾家網上一行在做生物識別技術,并且已經一段時間了,作為他們打擊詐騙的一部分,這聽起來是挺酷的。
但是,如果鍵盤行為生物識別術被用來泄露隱私,那又該如何是好?
如果有個網站檢測出你的碼字方式,那么可以很輕松地將這些信息加以濫用。
即使你使用了Tor之類的服務器來隱藏你在網上的行蹤,掩飾你的身份,然而某個特殊網站記錄下了你敲擊鍵盤的方式,你的身份很可能就會被出賣給想要知道的人。
反鍵盤識別:KeyboardPrivacy
現在問題來了:鍵盤敲擊識別技術真的靠譜嗎?
安全研究者Paul Moore和Per Thorshein聯手開發并測試了一個工具,可以將用戶與網站交互時的敲擊轉為常規方式,同時對人類無法察覺的差異進行了干預,最終可以瞞過任何試圖識別或收集用戶打字行為的網站。
兩位研究者發布了一個Chrome中的拓展KeyboardPrivacy,可以讓你打字看起來完全不像你,而是像一個完全不同的人。
觀看下面這段視頻,Per Thorsheim演示了一個可以成功識別鍵盤行為生物信息的網站,而KeyboardPrivacy插件則又是如何瞞天過海的。
研發者在博客中表示,他們并不是試圖阻止所有網站使用鍵盤行為生物識別技術進行身份驗證:
正如我之前提到的,安全和隱私之間需要保持一個很好的平衡,這點很重要;很少有提升一個性能卻沒有其他方面衰退的情況(密碼管理器或許是個例外)。或許你并不介意訪問每個網站時泄露一些個人信息,或許是你的網銀要求你這么做,你可以根據不同網站需求設置是否要禁用這一插件。
即使你的生物信息被泄露給第三方機構,除非你登錄這些網站時“碰巧”禁用了這個插件,否則就沒有什么危害。密碼的最大問題并不是太長或者過于簡單,而是重復的使用。你的(有意或無意)行為被生物識別技術在不知不覺中分享于各個站點之間。
