论文部分内容阅读
生物认证技术通过每个人特有的生理特征,如指纹、掌纹、人脸、虹膜等,或行为特征,如笔迹、语音等进行身份认证。由于这些特征在很大程度上具有唯一性和不可模仿性,极大地减少了用户被冒名顶替的风险。 随着生物认证技术的发展成熟,在很多领域已经得到了成功的应用。 键盘作为计算机的标准外设是普通计算机都有的,能否以人们不同的击键习惯作为特征,认证击键者的身份呢? 基于人们的击键输入方式对人进行识别或者身份认证并不是什么新想法,但是由于人工智能的进步,现在能够以非常高的准确度进行认证,从而使其可以替代其他形式的生物特征识别方法。 击键动力学的原理是人在正常键盘使用期间,按键按压和释放之间的时序存在着唯一的模式。罗马尼亚初创公司的首席执行官和数据科学家Raul Popa说,通过使用传统的统计分析和数学方程,这种基于击键的“指纹”与个人匹配的准确度在60%到70%之间变化。 已经进行了多年研究的键盘或击键生物特征识别方法,因准确度不高,使其无法作为身份认证方法而被广泛采用。一些供应商在过去十年投入了大量资金,试图提高击键生物特征识别的精度,但是真正的成功是在过去二三年中随着机器学习的进步而取得的。 Popa已经利用智能技术来开发击键模式识别技术,他声称其准确率超过了99%,甚至可以达到99.9%——前提是随着时间发展而为用户建立起足够大的击键参数文件。 该技术涉及记录关于用户怎样键入的小段信息,例如从一个键移动到另一个键所花费的时间,或者每个键被持续按压的时间。这用于创建表示为由320个值组成的特征向量的唯一键入模式。 按键识别并不意味着替代密码或单独用于身份认证方法。相反,它可以用在多因素身份认证系统中,并且比其他形式的生物特征识别验证方法更容易实现。 使用指纹、面部或者语音识别方法时,网站要求用户允许访问其麦克风、网络摄像头或者指纹读取器。而收集构建击键模式所需的数据可以从JavaScript中完成。除了浏览器中默认的网站已经拥有的权限之外,不需要额外的权限。 据Popa表示,为了构建击键参数文件,罗马尼亚初创公司的技术要求用户至少输入60~70个字符,但这可以根据所使用的服务而有所不同。 例如,需要频繁地检查用户身份的应用程序可以使用170~180个字符的长文本进行初始注册,然后在执行验证时使用较短的文本。同时,对于很少需要验证用户身份的应用程序(例如,密码重置尝试),注册文本可以更短,而验证文本可以更长。 Popa说,使用各种技术,技术上支持使用一种或者多种击键识别算法。他说,这就是为什么罗马尼亚初创公司使用10种不同算法的原因。这样,系统更容易应对潜在的欺诈尝试。 毕竟,击键模式和其他类型的生物特征识别技术一样易于克隆。正如攻击者可以复制某人的指纹,记录某人的声音或者获得某人脸部的高分辨率图片,理论上可以记录某人在很长一段时间内如何击键,然后复制,从而攻破基于击键的验证方法。 在讨论击键生物特征识别技术时常常出现的一个问题是,如何处理可能影响用户输入风格的各种意外事件。例如,当用户喝醉了或者头晕眼花的时候,他们可能是很慢地击键,同时产生很多的错误,这会改变他们的击键参数。事故也可能暂时让用户无法正常地使用他们的一只手。 罗马尼亚初创公司的智能系统足以知道用户在半边键盘上能够正常的键入,而另一半却不同,这表明他们的一只手有问题。这可以通过要求用户键入较长的文本,以便收集来自未受影响的一半的更多数据,去补偿另一半键盘上较低的分数。 如果击键整体风格变化太大,身份认证成功还是失败,则取决于配置的精度阈值。 针对一个人在一段时间内击键有稍微变化的情况,系统还可以执行所谓的连续注册,随着时间而收集到的新的击键信息会被补充到用户的击键参数中。例如,从每一击键验证文本收集的新数据,可以用于刷新用户存储的击键模式。 罗马尼亚初创公司通过API(应用程序编程接口)来访问基于击键的身份验证服务,开发人员可以通过软件开发工具包将这些功能添加到其Web应用程序中。 该公司还在开发用于执行“连续身份认证”的台式机和笔记本电脑应用程序。应用程序位于后台,学习计算机所有者的击键模式,然后,当程序没有被锁定处于无人值守状态时,未授权的用户尝试使用计算机时,它可以快速锁定这些用户。 除了身份认证,击键模式分析还有其他应用。这家公司目前正在對用户资料领域进行研究,并开发了一个试验系统,试图根据他们击键的方式来确定一个人的性别、年龄、智商、外向/内向以及个性(Myers-Briggs击键指标)。 在过去几年中,网络服务提供商公布的大量数据泄露事件清楚地表明,基于密码的身份验证是不够的。双重身份验证系统通常基于通过短信发送,或者由移动应用程序生成的一次性使用的验证码。现在这已经很普及了。 但是SMS不是用于发送验证码的安全信道,并且也不是所有的用户都有移动电话。人工智能击键生物特征识别技术是一种可行的网络替代方案,比需要访问某些外设的任何其他形式的生物特征识别技术更可行。 (作者Lucian Constantin是IDG新闻服务记者。他撰写关于信息安全、隐私和数据保护的文章。)