1
| 本文作者: 謝幺 | 2017-02-16 09:34 | 專題:RSA 2017 | 和全世界的網(wǎng)絡(luò)安全大咖會面 |
北京時間2月14日凌晨四點,地球另一邊的洛杉磯舉行的 RSA 2017 大會創(chuàng)新沙盒大賽,一個叫UnifyID 的創(chuàng)業(yè)公司從十家參選公司中脫穎而出,成為全場“大贏家”。
這家公司號稱“能讓人們徹底不需要密碼”,好吧你是不是聽這話聽得有些膩了?雷鋒網(wǎng)編輯其實也有些聽膩了,不過當(dāng)我看完 UnifyID 的介紹,依然忍不住“雙擊666”。
先介紹一下創(chuàng)新沙盒大賽有多厲害。
RSA 創(chuàng)新沙盒大賽(Innovation Sandbox)是什么?有人稱之為“安全界的奧斯卡”,有人稱之為“安全技術(shù)創(chuàng)新和投資的風(fēng)向標(biāo)”,每屆RSA大會的創(chuàng)新沙盒活動都是萬眾矚目的焦點,其中聚集了眾多創(chuàng)新公司用來對抗信息安全風(fēng)險的創(chuàng)造性尖端技術(shù)。
據(jù)宅客頻道了解,每年的贏家都在獲勝后的一年內(nèi)成功獲得投資,不少公司已經(jīng)發(fā)展成為了業(yè)界領(lǐng)跑者。目睹一下 RSA 2017 RSA 創(chuàng)新沙盒大賽現(xiàn)場,圖片由友媒安全客贊助:
【從PPT上看,參賽公司不少】
最終,在眾多參選公司中,一個叫UNIFY ID 的公司奪得桂冠,成為萬眾矚目的焦點。那么這家公司到底是做什么的呢?
【獲獎的UNIFYID】
在 UNIFY ID 的官方博客上,宅客頻道找到了其創(chuàng)始人及CEO親自撰寫的關(guān)于公司及產(chǎn)品由來的介紹,由宅客頻道演譯,為大家還原整個產(chǎn)品發(fā)展的來龍去脈:
作者: John Whaley
UnifyID CEO & Founder
一年時間的埋頭苦干,終讓 Uify ID 走向世界,真是令人高興和自豪。UnifyID 的最終目標(biāo)是解決一個古老而根深蒂固的問題:
如何證“你”是“你”所說的“你”
(how do I know you are who you say you are?)
傳統(tǒng)的(數(shù)字)認(rèn)證方式是密碼,但是仔細(xì)一想,密碼的概念其實相當(dāng)荒謬。我們來回想一下,密碼的概念其實是這樣的:有一個秘密只有我知道,所以我告訴你這個秘密就可以證明我是我。
那么問題來了,我是否需要為每個證明自己的場景都準(zhǔn)備一個秘密?我可記不住這么多秘密。可倘若我在多個場景使用同一個秘密來證明自己,那這個秘密還是秘密嗎?這個秘密很快就變成了公開的事情。(雷鋒網(wǎng)注:暗諷大規(guī)模密碼泄露)
而且這些秘密也很容易被哄騙或者釣魚手段,套路出來。(注:暗諷盜取密碼)
如今甚至有的人還開始用“娘家姓”這種很公開的信息來證明一個人的身份(指代常見的密碼找回問題:你的母親姓什么?),這難道不荒謬至極?
在這種情況下,有人提出用“密碼管理工具”的方式來協(xié)助人們記錄繁多的密碼。但密碼管理器工具只是個臨時解決方案,它只是幫你記錄越來越長的密碼列表,卻并沒有解決本質(zhì)問題 —— 只要有人知道你的“秘密”,他就能冒充你。
所以密碼管理器就像是個溫柔陷阱,它把你的所有“秘密”匯聚到一起,然后用一個"主密碼"來鎖住它,一旦你的主密碼被釣魚、被記錄、被猜出或是任何一種形式被他人獲知,你的所有“秘密”雞飛蛋打,牽一發(fā)而動全身!
另一種方式是用指紋一類的生物特征來識別你的身份,但顯而易見,單就指紋而言就存在兩個問題:
1)桌子、杯子、門把、方向盤……你的指紋到處都是。
2)一旦被破解,你很難改變自己的生物特征。
其他生物特征同樣存在這些問題,你的臉部特征、聲音、都很容易捕捉,而且這些方法并不會為安全性帶來任何好處。
第三種方式是使用設(shè)備來認(rèn)證用戶身份。
【常見的銀行動態(tài)口令】
這種方式已經(jīng)出現(xiàn)許久,有大量的廠商在“教育市場”,有強大的資金鏈在推動這一產(chǎn)業(yè),但它從未成為主流的認(rèn)證方式。
因為你需要額外隨身攜帶一個物件,上面有個30秒或一份鐘改變一次的數(shù)字,你還必須在變換之前讀取并填入。看起來你用這個設(shè)備來證明你是你,可一旦你遺失了這個設(shè)備,你就沒法證明你是你了。
于是,有的廠商意識到用戶不想額外攜帶認(rèn)證設(shè)備,他們就推出了所謂的“軟令牌”,通過一個手機APP來實現(xiàn)類似的功能來替代原本的硬件設(shè)備,這樣用戶拿個手機就能替代原來的硬件設(shè)備。或者通過手機短信驗證碼的方式來證明你是你。
但老實說,這些方式不僅用起來煩人,而且并沒有提升什么安全性。
總結(jié)一下,以上所有現(xiàn)有的認(rèn)證方式都有個共同點:
1)很煩人
2)并不能帶來安全性的提升
而 Unify ID 出現(xiàn),正是為了解決這些問題。
幾年前我和同事庫爾特通過一個 Demo , 對用戶打字時擊鍵的方式、間隔以及輸入的內(nèi)容來進(jìn)行規(guī)律分析。我們發(fā)現(xiàn)一個震驚的消息:每個人都有其獨特的打字方式。
有的鍵你會按得快,另一些鍵慢;
從一個鍵跳到另一個鍵的時間間隔也有差異;
每個人還有自己打得最熟練的單詞,等等。
也就是說,你在輸入一段話的功夫,我就能判斷這個人是不是你。
太神奇了!從那時起,我們就開始尋找,有沒有其他類似于鍵盤輸入規(guī)律這種“被動特征”來用于身份鑒定。我們設(shè)想,通過這一方法,不需要對方刻意去做任何事 —— 不需要輸入密碼,也不需要掏出設(shè)備。在無感知的情況下,就能準(zhǔn)確判斷一個人的身份。
在用戶的手機、電腦、可穿戴設(shè)施中就能找到許多這樣的特征。通過信號采集和機器學(xué)習(xí),從繁雜無規(guī)律的數(shù)據(jù)當(dāng)中提取出可用的身份特征。雖然看起來很麻煩,但是最終的結(jié)果令人震驚:一個人所有的動作、行為、環(huán)境都有規(guī)律可循,并且獨一無二!
從本質(zhì)上來說,世界上只有一個你,你的一舉一動都是獨一無二的,根據(jù)你周圍的傳感器就能準(zhǔn)確的判斷每個人的身份。于是 UnifyID 就這樣誕生了。
我們將這種技術(shù)統(tǒng)稱為 ”無感知認(rèn)證“ 。(英文:implicit authentication,有人譯作“全隱式認(rèn)證”,不過雷鋒網(wǎng)覺得“無感知認(rèn)證”更直觀)。
其核心觀點是:做自己就好。因為你的一切正常的言行舉止都可以用來證明你的身份。其他額外的東西完全多余。
這種認(rèn)證方式并不是首次提出。在遠(yuǎn)古時期,原始人類就一直在用這種方式辨別他人。那時人們通過看你的長相,看你走路姿勢,看你擁有的東西,然后綜合這些因素來判斷這個人是誰。
久而久之,我們的大腦就進(jìn)化出了從這些特征中提取細(xì)微線索的能力。通過這些線索的綜合判斷,人類的大腦自然而然就能鑒定身份。那么基于這種原理,我們發(fā)現(xiàn),通過機器學(xué)習(xí)的方法反復(fù)訓(xùn)練,也能讓機器獲得這樣的能力。
最后我們的試驗結(jié)果堪稱神奇。
它讓安全變得無縫、自然,你就做你自己,你使用的設(shè)備和周圍的服務(wù)會根據(jù)你自然而然表現(xiàn)出來的言行舉止來識別你的身份。你不需要記憶任何密碼、也不需要從手機上查看任何驗證碼。
你的身份不再和一臺設(shè)備相捆綁,也不需要刻意攜帶任何東西,一切順其自然。來來來,舉起雙手跟我一起吶喊: “無感知”才代表著身份認(rèn)證真正的未來。
這種技術(shù)的應(yīng)用領(lǐng)域非常寬泛,但其中有一個最關(guān)鍵的應(yīng)用領(lǐng)域:確保交易認(rèn)證和賬號安全。當(dāng)一個用戶登錄時,我們的無感知認(rèn)證系統(tǒng)可以在分析并給出用戶身份的可信度。而且Unify 可以連續(xù)進(jìn)行認(rèn)證,也就是說當(dāng)用戶發(fā)生變化時(比如換了個人)我們有能力直接注銷賬戶。
安全和用戶體驗一直是相互制衡的。長久以來,許多解決方案打著安全的旗號來犧牲用戶體驗,但我們不得不承認(rèn),用戶體驗和安全是不可分割的。任何一個不考慮用戶體驗的安全解決方案,人們要么不遵守你的安全規(guī)則(比如使用簡單密碼),要么想直接掀桌子,比如輸錯N次密碼,賬號被凍結(jié)的時候。
UnifyID 在設(shè)計的時候就考慮到了用戶體驗。事實上,它就是從用戶體驗出發(fā)的。什么賬號密碼、安全問題?驗證碼?這些完全是用戶體驗殺手。而對于 Unify ID 來說,辨認(rèn)一個人的身份輕而易舉,為了增強其準(zhǔn)確性,指紋和面部特征等也可以成為識別特征的一部分。
最關(guān)鍵的是,由于UnifyID 是基于機器學(xué)習(xí),也就是說,你越使用這個系統(tǒng),機器對你就越熟悉,你用起來也就更爽更安全。
UnifyID 利用了深層神經(jīng)網(wǎng)絡(luò)、組合決策樹、貝葉斯網(wǎng)絡(luò)、信號處理、半監(jiān)督和無監(jiān)督的機器學(xué)習(xí)等等。而在這些技術(shù)的背后,是我們來自麻省理工、斯坦福、伯克利和CMU的安全專家以及世界一流的學(xué)術(shù)界和工業(yè)界顧問。
未來,我們將推動一場無感知認(rèn)證革命!
據(jù)宅客頻道了解,UnifyID 使用了100多個同步的因素,利用機器學(xué)習(xí)算法,自動尋找各個特征之間的關(guān)聯(lián)來提高準(zhǔn)確性,據(jù)稱準(zhǔn)確率能高達(dá) 99.999%。
其產(chǎn)品主要是由APP和云服務(wù)組成。本地的APP從設(shè)備上手機數(shù)據(jù)加以處理,然后通過云端來進(jìn)行計算和通信。其中的數(shù)據(jù)包括:GPS、加速器、回轉(zhuǎn)儀、磁力計、氣壓計、環(huán)境光、WiFi、藍(lán)牙信號測距儀等多種傳感器。
舉個例子,當(dāng)兩個人一屁股坐下時,即使他們身高、體重、身體質(zhì)量指數(shù)均相同,UnifyID得到的加速劑和回轉(zhuǎn)儀的數(shù)據(jù)也大相徑庭。
宅客頻道猜想,難道是他倆撅屁股的程度不同?還是兩瓣屁股不一樣大?這個問題值得考究。
據(jù)其官網(wǎng)稱,僅僅使用四個可用的傳感器,其準(zhǔn)確率就已經(jīng)遠(yuǎn)遠(yuǎn)超過當(dāng)前廣泛使用的常規(guī)認(rèn)證方式。即使是在收集少量數(shù)據(jù)的情況下,也有辦法鑒定你的身份,比如步態(tài)檢測。(沒錯,就是間諜電影里那種步態(tài)分析)
雷鋒網(wǎng)編輯覺得,如果其官方的描述屬實,也許這是我們距離消滅密碼最近的一次。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
專題
