当我们俯首倾身地坐在键盘面前时,很难相信我们敲击键盘和移动鼠标的方式都是独一无二的。但是多家公司认为这些方式可以用来验证我们的身份,淘汰掉数字生活最招人烦的特点之一 ——密码。从电子商务网站到社交媒体个人资料,密码保护着各种各样的敏感信息。但是最近发生的多次安全事故表明,这种系统有多么不堪一击。今年早些时候,Heartbleed漏洞迫使互联网上的大批用户匆忙修改密码。
5月,eBay宣布超过2亿个账户可能因一次安全破坏事件而身陷险境。以色列特拉维夫市Biocatch公司的尤里·里夫纳(Uri Rivner)说,这激起了人们对行为生物识别技术的兴趣。行为生物识别所基于的想法是,每个人都下意识地以可预测的方式使用鼠标和键盘——而且这些行为能够可靠地确定其身份。
这些动作的例子包括:选择屏幕上出现的按钮有多迅速、在菜单上停留的时间有多长、移动鼠标的速度有多快,以及上下卷动页面靠的是鼠标键、滚动条还是鼠标转轮。不过并非所有这些信息都必须被用上。
“我们无需给这颗星球上的每一个人都找到其独特的行为。”瑞典吕勒奥市Behaviosec公司首席执行官尼尔·科斯蒂根(Neil Costigan)说,“我们只需要利用大量行为中的一部分,就足以验证一个人是不是他自己声称的那一位。我们盯着他的行为,看看是不是能够匹配他之前的行为。”
很多公司已经开始实现这项技术。Biocatch在两家银行的网络上成功进行了试运行。6月17日,该公司宣称他们借此获得了1000万美元的风险投资。在美国,IBM开始在其卖给银行的在线安全软件中部署这项技术。Behaviosec接受了美国国防部高级研究计划局(DRAPA)的资助,用于将它的桌面行为生物识别系统移植到平板电脑和智能手机上。
IBM系统仅在一个人使用密码登录系统之后才会监控其行为。这可以防止行骗者假扮一位没有注销便临时离开的认证用户进行交易。当探测到不同寻常的行为时,软件会要求用户再次登录,并提出几个安全验证问题。
Biocatch的目标是彻底替换掉密码,不过目前它的软件也只能先登录再使用。它的系统比IBM的更加主动,会向用户提出一些它所谓的潜意识“挑战”,以便收集用户的独特反应。比如,软件令鼠标指针消失几秒,然后用户试图恢复指针时移动鼠标的动作——顺时针转、逆时针转、大圆弧、小圆弧——就被记了下来。
里夫纳说,通过建立人们对这些挑战的应对方式模型,然后在他们使用网上银行业务或者在线购物时监控其动作,软件就能够在敲击几下键盘的时间内判断此刻的用户还是不是一开始登录的那一位。他说,这终将令我们摆脱密码、个人识别码、验证码以及其他登录手段的困扰。
移动技术领域也在发生着类似的进展。科斯蒂根指出,手指压力、滑动速度和角度等触碰行为,以及陀螺仪和加速计的读数,都可以被利用来认证用户。用他的话来说,“智能手机上能用来做行为识别的输入可谓数量惊人。”