1
本文作者: 谢幺 | 2017-02-16 09:34 | 专题:RSA 2017 | 和全世界的网络安全大咖会面 |
北京时间2月14日凌晨四点,地球另一边的洛杉矶举行的 RSA 2017 大会创新沙盒大赛,一个叫UnifyID 的创业公司从十家参选公司中脱颖而出,成为全场“大赢家”。
这家公司号称“能让人们彻底不需要密码”,好吧你是不是听这话听得有些腻了?雷锋网编辑其实也有些听腻了,不过当我看完 UnifyID 的介绍,依然忍不住“双击666”。
先介绍一下创新沙盒大赛有多厉害。
RSA 创新沙盒大赛(Innovation Sandbox)是什么?有人称之为“安全界的奥斯卡”,有人称之为“安全技术创新和投资的风向标”,每届RSA大会的创新沙盒活动都是万众瞩目的焦点,其中聚集了众多创新公司用来对抗信息安全风险的创造性尖端技术。
据宅客频道了解,每年的赢家都在获胜后的一年内成功获得投资,不少公司已经发展成为了业界领跑者。目睹一下 RSA 2017 RSA 创新沙盒大赛现场,图片由友媒安全客赞助:
【从PPT上看,参赛公司不少】
最终,在众多参选公司中,一个叫UNIFY ID 的公司夺得桂冠,成为万众瞩目的焦点。那么这家公司到底是做什么的呢?
【获奖的UNIFYID】
在 UNIFY ID 的官方博客上,宅客频道找到了其创始人及CEO亲自撰写的关于公司及产品由来的介绍,由宅客频道演译,为大家还原整个产品发展的来龙去脉:
作者: John Whaley
UnifyID CEO & Founder
一年时间的埋头苦干,终让 Uify ID 走向世界,真是令人高兴和自豪。UnifyID 的最终目标是解决一个古老而根深蒂固的问题:
如何证“你”是“你”所说的“你”
(how do I know you are who you say you are?)
传统的(数字)认证方式是密码,但是仔细一想,密码的概念其实相当荒谬。我们来回想一下,密码的概念其实是这样的:有一个秘密只有我知道,所以我告诉你这个秘密就可以证明我是我。
那么问题来了,我是否需要为每个证明自己的场景都准备一个秘密?我可记不住这么多秘密。可倘若我在多个场景使用同一个秘密来证明自己,那这个秘密还是秘密吗?这个秘密很快就变成了公开的事情。(雷锋网注:暗讽大规模密码泄露)
而且这些秘密也很容易被哄骗或者钓鱼手段,套路出来。(注:暗讽盗取密码)
如今甚至有的人还开始用“娘家姓”这种很公开的信息来证明一个人的身份(指代常见的密码找回问题:你的母亲姓什么?),这难道不荒谬至极?
在这种情况下,有人提出用“密码管理工具”的方式来协助人们记录繁多的密码。但密码管理器工具只是个临时解决方案,它只是帮你记录越来越长的密码列表,却并没有解决本质问题 —— 只要有人知道你的“秘密”,他就能冒充你。
所以密码管理器就像是个温柔陷阱,它把你的所有“秘密”汇聚到一起,然后用一个"主密码"来锁住它,一旦你的主密码被钓鱼、被记录、被猜出或是任何一种形式被他人获知,你的所有“秘密”鸡飞蛋打,牵一发而动全身!
另一种方式是用指纹一类的生物特征来识别你的身份,但显而易见,单就指纹而言就存在两个问题:
1)桌子、杯子、门把、方向盘……你的指纹到处都是。
2)一旦被破解,你很难改变自己的生物特征。
其他生物特征同样存在这些问题,你的脸部特征、声音、都很容易捕捉,而且这些方法并不会为安全性带来任何好处。
第三种方式是使用设备来认证用户身份。
【常见的银行动态口令】
这种方式已经出现许久,有大量的厂商在“教育市场”,有强大的资金链在推动这一产业,但它从未成为主流的认证方式。
因为你需要额外随身携带一个物件,上面有个30秒或一份钟改变一次的数字,你还必须在变换之前读取并填入。看起来你用这个设备来证明你是你,可一旦你遗失了这个设备,你就没法证明你是你了。
于是,有的厂商意识到用户不想额外携带认证设备,他们就推出了所谓的“软令牌”,通过一个手机APP来实现类似的功能来替代原本的硬件设备,这样用户拿个手机就能替代原来的硬件设备。或者通过手机短信验证码的方式来证明你是你。
但老实说,这些方式不仅用起来烦人,而且并没有提升什么安全性。
总结一下,以上所有现有的认证方式都有个共同点:
1)很烦人
2)并不能带来安全性的提升
而 Unify ID 出现,正是为了解决这些问题。
几年前我和同事库尔特通过一个 Demo , 对用户打字时击键的方式、间隔以及输入的内容来进行规律分析。我们发现一个震惊的消息:每个人都有其独特的打字方式。
有的键你会按得快,另一些键慢;
从一个键跳到另一个键的时间间隔也有差异;
每个人还有自己打得最熟练的单词,等等。
也就是说,你在输入一段话的功夫,我就能判断这个人是不是你。
太神奇了!从那时起,我们就开始寻找,有没有其他类似于键盘输入规律这种“被动特征”来用于身份鉴定。我们设想,通过这一方法,不需要对方刻意去做任何事 —— 不需要输入密码,也不需要掏出设备。在无感知的情况下,就能准确判断一个人的身份。
在用户的手机、电脑、可穿戴设施中就能找到许多这样的特征。通过信号采集和机器学习,从繁杂无规律的数据当中提取出可用的身份特征。虽然看起来很麻烦,但是最终的结果令人震惊:一个人所有的动作、行为、环境都有规律可循,并且独一无二!
从本质上来说,世界上只有一个你,你的一举一动都是独一无二的,根据你周围的传感器就能准确的判断每个人的身份。于是 UnifyID 就这样诞生了。
我们将这种技术统称为 ”无感知认证“ 。(英文:implicit authentication,有人译作“全隐式认证”,不过雷锋网觉得“无感知认证”更直观)。
其核心观点是:做自己就好。因为你的一切正常的言行举止都可以用来证明你的身份。其他额外的东西完全多余。
这种认证方式并不是首次提出。在远古时期,原始人类就一直在用这种方式辨别他人。那时人们通过看你的长相,看你走路姿势,看你拥有的东西,然后综合这些因素来判断这个人是谁。
久而久之,我们的大脑就进化出了从这些特征中提取细微线索的能力。通过这些线索的综合判断,人类的大脑自然而然就能鉴定身份。那么基于这种原理,我们发现,通过机器学习的方法反复训练,也能让机器获得这样的能力。
最后我们的试验结果堪称神奇。
它让安全变得无缝、自然,你就做你自己,你使用的设备和周围的服务会根据你自然而然表现出来的言行举止来识别你的身份。你不需要记忆任何密码、也不需要从手机上查看任何验证码。
你的身份不再和一台设备相捆绑,也不需要刻意携带任何东西,一切顺其自然。来来来,举起双手跟我一起呐喊: “无感知”才代表着身份认证真正的未来。
这种技术的应用领域非常宽泛,但其中有一个最关键的应用领域:确保交易认证和账号安全。当一个用户登录时,我们的无感知认证系统可以在分析并给出用户身份的可信度。而且Unify 可以连续进行认证,也就是说当用户发生变化时(比如换了个人)我们有能力直接注销账户。
安全和用户体验一直是相互制衡的。长久以来,许多解决方案打着安全的旗号来牺牲用户体验,但我们不得不承认,用户体验和安全是不可分割的。任何一个不考虑用户体验的安全解决方案,人们要么不遵守你的安全规则(比如使用简单密码),要么想直接掀桌子,比如输错N次密码,账号被冻结的时候。
UnifyID 在设计的时候就考虑到了用户体验。事实上,它就是从用户体验出发的。什么账号密码、安全问题?验证码?这些完全是用户体验杀手。而对于 Unify ID 来说,辨认一个人的身份轻而易举,为了增强其准确性,指纹和面部特征等也可以成为识别特征的一部分。
最关键的是,由于UnifyID 是基于机器学习,也就是说,你越使用这个系统,机器对你就越熟悉,你用起来也就更爽更安全。
UnifyID 利用了深层神经网络、组合决策树、贝叶斯网络、信号处理、半监督和无监督的机器学习等等。而在这些技术的背后,是我们来自麻省理工、斯坦福、伯克利和CMU的安全专家以及世界一流的学术界和工业界顾问。
未来,我们将推动一场无感知认证革命!
据宅客频道了解,UnifyID 使用了100多个同步的因素,利用机器学习算法,自动寻找各个特征之间的关联来提高准确性,据称准确率能高达 99.999%。
其产品主要是由APP和云服务组成。本地的APP从设备上手机数据加以处理,然后通过云端来进行计算和通信。其中的数据包括:GPS、加速器、回转仪、磁力计、气压计、环境光、WiFi、蓝牙信号测距仪等多种传感器。
举个例子,当两个人一屁股坐下时,即使他们身高、体重、身体质量指数均相同,UnifyID得到的加速剂和回转仪的数据也大相径庭。
宅客频道猜想,难道是他俩撅屁股的程度不同?还是两瓣屁股不一样大?这个问题值得考究。
据其官网称,仅仅使用四个可用的传感器,其准确率就已经远远超过当前广泛使用的常规认证方式。即使是在收集少量数据的情况下,也有办法鉴定你的身份,比如步态检测。(没错,就是间谍电影里那种步态分析)
雷锋网编辑觉得,如果其官方的描述属实,也许这是我们距离消灭密码最近的一次。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。