1
| 本文作者: 謝幺 | 2017-02-16 09:34 | 專題:RSA 2017 | 和全世界的網絡安全大咖會面 |
北京時間2月14日凌晨四點,地球另一邊的洛杉磯舉行的 RSA 2017 大會創新沙盒大賽,一個叫UnifyID 的創業公司從十家參選公司中脫穎而出,成為全場“大贏家”。
這家公司號稱“能讓人們徹底不需要密碼”,好吧你是不是聽這話聽得有些膩了?雷鋒網編輯其實也有些聽膩了,不過當我看完 UnifyID 的介紹,依然忍不住“雙擊666”。
先介紹一下創新沙盒大賽有多厲害。
RSA 創新沙盒大賽(Innovation Sandbox)是什么?有人稱之為“安全界的奧斯卡”,有人稱之為“安全技術創新和投資的風向標”,每屆RSA大會的創新沙盒活動都是萬眾矚目的焦點,其中聚集了眾多創新公司用來對抗信息安全風險的創造性尖端技術。
據宅客頻道了解,每年的贏家都在獲勝后的一年內成功獲得投資,不少公司已經發展成為了業界領跑者。目睹一下 RSA 2017 RSA 創新沙盒大賽現場,圖片由友媒安全客贊助:
【從PPT上看,參賽公司不少】
最終,在眾多參選公司中,一個叫UNIFY ID 的公司奪得桂冠,成為萬眾矚目的焦點。那么這家公司到底是做什么的呢?
【獲獎的UNIFYID】
在 UNIFY ID 的官方博客上,宅客頻道找到了其創始人及CEO親自撰寫的關于公司及產品由來的介紹,由宅客頻道演譯,為大家還原整個產品發展的來龍去脈:
作者: John Whaley
UnifyID CEO & Founder
一年時間的埋頭苦干,終讓 Uify ID 走向世界,真是令人高興和自豪。UnifyID 的最終目標是解決一個古老而根深蒂固的問題:
如何證“你”是“你”所說的“你”
(how do I know you are who you say you are?)
傳統的(數字)認證方式是密碼,但是仔細一想,密碼的概念其實相當荒謬。我們來回想一下,密碼的概念其實是這樣的:有一個秘密只有我知道,所以我告訴你這個秘密就可以證明我是我。
那么問題來了,我是否需要為每個證明自己的場景都準備一個秘密?我可記不住這么多秘密。可倘若我在多個場景使用同一個秘密來證明自己,那這個秘密還是秘密嗎?這個秘密很快就變成了公開的事情。(雷鋒網注:暗諷大規模密碼泄露)
而且這些秘密也很容易被哄騙或者釣魚手段,套路出來。(注:暗諷盜取密碼)
如今甚至有的人還開始用“娘家姓”這種很公開的信息來證明一個人的身份(指代常見的密碼找回問題:你的母親姓什么?),這難道不荒謬至極?
在這種情況下,有人提出用“密碼管理工具”的方式來協助人們記錄繁多的密碼。但密碼管理器工具只是個臨時解決方案,它只是幫你記錄越來越長的密碼列表,卻并沒有解決本質問題 —— 只要有人知道你的“秘密”,他就能冒充你。
所以密碼管理器就像是個溫柔陷阱,它把你的所有“秘密”匯聚到一起,然后用一個"主密碼"來鎖住它,一旦你的主密碼被釣魚、被記錄、被猜出或是任何一種形式被他人獲知,你的所有“秘密”雞飛蛋打,牽一發而動全身!
另一種方式是用指紋一類的生物特征來識別你的身份,但顯而易見,單就指紋而言就存在兩個問題:
1)桌子、杯子、門把、方向盤……你的指紋到處都是。
2)一旦被破解,你很難改變自己的生物特征。
其他生物特征同樣存在這些問題,你的臉部特征、聲音、都很容易捕捉,而且這些方法并不會為安全性帶來任何好處。
第三種方式是使用設備來認證用戶身份。
【常見的銀行動態口令】
這種方式已經出現許久,有大量的廠商在“教育市場”,有強大的資金鏈在推動這一產業,但它從未成為主流的認證方式。
因為你需要額外隨身攜帶一個物件,上面有個30秒或一份鐘改變一次的數字,你還必須在變換之前讀取并填入。看起來你用這個設備來證明你是你,可一旦你遺失了這個設備,你就沒法證明你是你了。
于是,有的廠商意識到用戶不想額外攜帶認證設備,他們就推出了所謂的“軟令牌”,通過一個手機APP來實現類似的功能來替代原本的硬件設備,這樣用戶拿個手機就能替代原來的硬件設備。或者通過手機短信驗證碼的方式來證明你是你。
但老實說,這些方式不僅用起來煩人,而且并沒有提升什么安全性。
總結一下,以上所有現有的認證方式都有個共同點:
1)很煩人
2)并不能帶來安全性的提升
而 Unify ID 出現,正是為了解決這些問題。
幾年前我和同事庫爾特通過一個 Demo , 對用戶打字時擊鍵的方式、間隔以及輸入的內容來進行規律分析。我們發現一個震驚的消息:每個人都有其獨特的打字方式。
有的鍵你會按得快,另一些鍵慢;
從一個鍵跳到另一個鍵的時間間隔也有差異;
每個人還有自己打得最熟練的單詞,等等。
也就是說,你在輸入一段話的功夫,我就能判斷這個人是不是你。
太神奇了!從那時起,我們就開始尋找,有沒有其他類似于鍵盤輸入規律這種“被動特征”來用于身份鑒定。我們設想,通過這一方法,不需要對方刻意去做任何事 —— 不需要輸入密碼,也不需要掏出設備。在無感知的情況下,就能準確判斷一個人的身份。
在用戶的手機、電腦、可穿戴設施中就能找到許多這樣的特征。通過信號采集和機器學習,從繁雜無規律的數據當中提取出可用的身份特征。雖然看起來很麻煩,但是最終的結果令人震驚:一個人所有的動作、行為、環境都有規律可循,并且獨一無二!
從本質上來說,世界上只有一個你,你的一舉一動都是獨一無二的,根據你周圍的傳感器就能準確的判斷每個人的身份。于是 UnifyID 就這樣誕生了。
我們將這種技術統稱為 ”無感知認證“ 。(英文:implicit authentication,有人譯作“全隱式認證”,不過雷鋒網覺得“無感知認證”更直觀)。
其核心觀點是:做自己就好。因為你的一切正常的言行舉止都可以用來證明你的身份。其他額外的東西完全多余。
這種認證方式并不是首次提出。在遠古時期,原始人類就一直在用這種方式辨別他人。那時人們通過看你的長相,看你走路姿勢,看你擁有的東西,然后綜合這些因素來判斷這個人是誰。
久而久之,我們的大腦就進化出了從這些特征中提取細微線索的能力。通過這些線索的綜合判斷,人類的大腦自然而然就能鑒定身份。那么基于這種原理,我們發現,通過機器學習的方法反復訓練,也能讓機器獲得這樣的能力。
最后我們的試驗結果堪稱神奇。
它讓安全變得無縫、自然,你就做你自己,你使用的設備和周圍的服務會根據你自然而然表現出來的言行舉止來識別你的身份。你不需要記憶任何密碼、也不需要從手機上查看任何驗證碼。
你的身份不再和一臺設備相捆綁,也不需要刻意攜帶任何東西,一切順其自然。來來來,舉起雙手跟我一起吶喊: “無感知”才代表著身份認證真正的未來。
這種技術的應用領域非常寬泛,但其中有一個最關鍵的應用領域:確保交易認證和賬號安全。當一個用戶登錄時,我們的無感知認證系統可以在分析并給出用戶身份的可信度。而且Unify 可以連續進行認證,也就是說當用戶發生變化時(比如換了個人)我們有能力直接注銷賬戶。
安全和用戶體驗一直是相互制衡的。長久以來,許多解決方案打著安全的旗號來犧牲用戶體驗,但我們不得不承認,用戶體驗和安全是不可分割的。任何一個不考慮用戶體驗的安全解決方案,人們要么不遵守你的安全規則(比如使用簡單密碼),要么想直接掀桌子,比如輸錯N次密碼,賬號被凍結的時候。
UnifyID 在設計的時候就考慮到了用戶體驗。事實上,它就是從用戶體驗出發的。什么賬號密碼、安全問題?驗證碼?這些完全是用戶體驗殺手。而對于 Unify ID 來說,辨認一個人的身份輕而易舉,為了增強其準確性,指紋和面部特征等也可以成為識別特征的一部分。
最關鍵的是,由于UnifyID 是基于機器學習,也就是說,你越使用這個系統,機器對你就越熟悉,你用起來也就更爽更安全。
UnifyID 利用了深層神經網絡、組合決策樹、貝葉斯網絡、信號處理、半監督和無監督的機器學習等等。而在這些技術的背后,是我們來自麻省理工、斯坦福、伯克利和CMU的安全專家以及世界一流的學術界和工業界顧問。
未來,我們將推動一場無感知認證革命!
據宅客頻道了解,UnifyID 使用了100多個同步的因素,利用機器學習算法,自動尋找各個特征之間的關聯來提高準確性,據稱準確率能高達 99.999%。
其產品主要是由APP和云服務組成。本地的APP從設備上手機數據加以處理,然后通過云端來進行計算和通信。其中的數據包括:GPS、加速器、回轉儀、磁力計、氣壓計、環境光、WiFi、藍牙信號測距儀等多種傳感器。
舉個例子,當兩個人一屁股坐下時,即使他們身高、體重、身體質量指數均相同,UnifyID得到的加速劑和回轉儀的數據也大相徑庭。
宅客頻道猜想,難道是他倆撅屁股的程度不同?還是兩瓣屁股不一樣大?這個問題值得考究。
據其官網稱,僅僅使用四個可用的傳感器,其準確率就已經遠遠超過當前廣泛使用的常規認證方式。即使是在收集少量數據的情況下,也有辦法鑒定你的身份,比如步態檢測。(沒錯,就是間諜電影里那種步態分析)
雷鋒網編輯覺得,如果其官方的描述屬實,也許這是我們距離消滅密碼最近的一次。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
專題
