Lucian+Constantin

生物認證技術(shù)通過每個人特有的生理特征，如指紋、掌紋、人臉、虹膜等，或行為特征，如筆跡、語音等進行身份認證。由于這些特征在很大程度上具有唯一性和不可模仿性，極大地減少了用戶被冒名頂替的風(fēng)險。 隨著生物認證技術(shù)的發(fā)展成熟，在很多領(lǐng)域已經(jīng)得到了成功的應(yīng)用。 鍵盤作為計算機的標(biāo)準(zhǔn)外設(shè)是普通計算機都有的，能否以人們不同的擊鍵習(xí)慣作為特征，認證擊鍵者的身份呢？ 基于人們的擊鍵輸入方式對人進行識別或者身份認證并不是什么新想法，但是由于人工智能的進步，現(xiàn)在能夠以非常高的準(zhǔn)確度進行認證，從而使其可以替代其他形式的生物特征識別方法。 擊鍵動力學(xué)的原理是人在正常鍵盤使用期間，按鍵按壓和釋放之間的時序存在著唯一的模式。羅馬尼亞初創(chuàng)公司的首席執(zhí)行官和數(shù)據(jù)科學(xué)家Raul Popa說，通過使用傳統(tǒng)的統(tǒng)計分析和數(shù)學(xué)方程，這種基于擊鍵的“指紋”與個人匹配的準(zhǔn)確度在60%到70%之間變化。 已經(jīng)進行了多年研究的鍵盤或擊鍵生物特征識別方法，因準(zhǔn)確度不高，使其無法作為身份認證方法而被廣泛采用。一些供應(yīng)商在過去十年投入了大量資金，試圖提高擊鍵生物特征識別的精度，但是真正的成功是在過去二三年中隨著機器學(xué)習(xí)的進步而取得的。 Popa已經(jīng)利用智能技術(shù)來開發(fā)擊鍵模式識別技術(shù)，他聲稱其準(zhǔn)確率超過了99%，甚至可以達到99.9%——前提是隨著時間發(fā)展而為用戶建立起足夠大的擊鍵參數(shù)文件。 該技術(shù)涉及記錄關(guān)于用戶怎樣鍵入的小段信息，例如從一個鍵移動到另一個鍵所花費的時間，或者每個鍵被持續(xù)按壓的時間。這用于創(chuàng)建表示為由320個值組成的特征向量的唯一鍵入模式。 按鍵識別并不意味著替代密碼或單獨用于身份認證方法。相反，它可以用在多因素身份認證系統(tǒng)中，并且比其他形式的生物特征識別驗證方法更容易實現(xiàn)。 使用指紋、面部或者語音識別方法時，網(wǎng)站要求用戶允許訪問其麥克風(fēng)、網(wǎng)絡(luò)攝像頭或者指紋讀取器。而收集構(gòu)建擊鍵模式所需的數(shù)據(jù)可以從JavaScript中完成。除了瀏覽器中默認的網(wǎng)站已經(jīng)擁有的權(quán)限之外，不需要額外的權(quán)限。 據(jù)Popa表示，為了構(gòu)建擊鍵參數(shù)文件，羅馬尼亞初創(chuàng)公司的技術(shù)要求用戶至少輸入60～70個字符，但這可以根據(jù)所使用的服務(wù)而有所不同。 例如，需要頻繁地檢查用戶身份的應(yīng)用程序可以使用170～180個字符的長文本進行初始注冊，然后在執(zhí)行驗證時使用較短的文本。同時，對于很少需要驗證用戶身份的應(yīng)用程序（例如，密碼重置嘗試），注冊文本可以更短，而驗證文本可以更長。 Popa說，使用各種技術(shù)，技術(shù)上支持使用一種或者多種擊鍵識別算法。他說，這就是為什么羅馬尼亞初創(chuàng)公司使用10種不同算法的原因。這樣，系統(tǒng)更容易應(yīng)對潛在的欺詐嘗試。 畢竟，擊鍵模式和其他類型的生物特征識別技術(shù)一樣易于克隆。正如攻擊者可以復(fù)制某人的指紋，記錄某人的聲音或者獲得某人臉部的高分辨率圖片，理論上可以記錄某人在很長一段時間內(nèi)如何擊鍵，然后復(fù)制，從而攻破基于擊鍵的驗證方法。 在討論擊鍵生物特征識別技術(shù)時常常出現(xiàn)的一個問題是，如何處理可能影響用戶輸入風(fēng)格的各種意外事件。例如，當(dāng)用戶喝醉了或者頭暈眼花的時候，他們可能是很慢地擊鍵，同時產(chǎn)生很多的錯誤，這會改變他們的擊鍵參數(shù)。事故也可能暫時讓用戶無法正常地使用他們的一只手。 羅馬尼亞初創(chuàng)公司的智能系統(tǒng)足以知道用戶在半邊鍵盤上能夠正常的鍵入，而另一半?yún)s不同，這表明他們的一只手有問題。這可以通過要求用戶鍵入較長的文本，以便收集來自未受影響的一半的更多數(shù)據(jù)，去補償另一半鍵盤上較低的分數(shù)。 如果擊鍵整體風(fēng)格變化太大，身份認證成功還是失敗，則取決于配置的精度閾值。 針對一個人在一段時間內(nèi)擊鍵有稍微變化的情況，系統(tǒng)還可以執(zhí)行所謂的連續(xù)注冊，隨著時間而收集到的新的擊鍵信息會被補充到用戶的擊鍵參數(shù)中。例如，從每一擊鍵驗證文本收集的新數(shù)據(jù)，可以用于刷新用戶存儲的擊鍵模式。 羅馬尼亞初創(chuàng)公司通過API（應(yīng)用程序編程接口）來訪問基于擊鍵的身份驗證服務(wù)，開發(fā)人員可以通過軟件開發(fā)工具包將這些功能添加到其Web應(yīng)用程序中。 該公司還在開發(fā)用于執(zhí)行“連續(xù)身份認證”的臺式機和筆記本電腦應(yīng)用程序。應(yīng)用程序位于后臺，學(xué)習(xí)計算機所有者的擊鍵模式，然后，當(dāng)程序沒有被鎖定處于無人值守狀態(tài)時，未授權(quán)的用戶嘗試使用計算機時，它可以快速鎖定這些用戶。 除了身份認證，擊鍵模式分析還有其他應(yīng)用。這家公司目前正在對用戶資料領(lǐng)域進行研究，并開發(fā)了一個試驗系統(tǒng)，試圖根據(jù)他們擊鍵的方式來確定一個人的性別、年齡、智商、外向/內(nèi)向以及個性（Myers-Briggs擊鍵指標(biāo)）。 在過去幾年中，網(wǎng)絡(luò)服務(wù)提供商公布的大量數(shù)據(jù)泄露事件清楚地表明，基于密碼的身份驗證是不夠的。雙重身份驗證系統(tǒng)通?；谕ㄟ^短信發(fā)送，或者由移動應(yīng)用程序生成的一次性使用的驗證碼。現(xiàn)在這已經(jīng)很普及了。 但是SMS不是用于發(fā)送驗證碼的安全信道，并且也不是所有的用戶都有移動電話。人工智能擊鍵生物特征識別技術(shù)是一種可行的網(wǎng)絡(luò)替代方案，比需要訪問某些外設(shè)的任何其他形式的生物特征識別技術(shù)更可行。 （作者Lucian Constantin是IDG新聞服務(wù)記者。他撰寫關(guān)于信息安全、隱私和數(shù)據(jù)保護的文章。）endprint