1
去年各路名人iCloud账号被盗,裸照爆了又爆,而一波未平一波又起,Reddit也出现了同样的问题。苹果公司说应该采取“双重认证”措施,保证账号安全。
什么是“双重认证”呢?很简单。比如你要登陆iClound,你的苹果手机会收到四位验证码,输入密码之后,还需输入验证码才能成功登入账户。这样一来,如果有人仅仅知道你的账户密码是没法登进账户、窃取信息的,他还需要你手机上的临时验证码。
双重认证比仅用密码要安全得多,而且貌似你所有的账户都可以这样做。但是这种方式最大的问题在哪儿?麻烦。每次登陆账户,都要拿出手机、解锁、查看验证码、输入验证码。而且,你要是验证码输慢了,它就变了,又得重新输。这样登个账户也太费事儿了,所以很多人干脆不用。
不过别担心,瑞士联邦理工学院的研究员们有新花样,让双重认证不再头痛。他们发明了Sound-Proof软件,并且将在下周四Usenix安全会议上公开相关论文研究成果。
Sound-Proof具体怎么起作用呢? 在你登录使用了这一技术的站点时,服务器会尝试与你手机上的对应应用进行连接,然后手机和电脑浏览器会同时录下周围的声音。基于这短短几秒的声音,Sound-Proof会创建一个数字签名并上传到服务器中,服务器对比电脑和手机的数字签名,如果符合,则可成功在电脑上登入。这样,是不是省了拿出手机解锁的麻烦?而且录音也是自动的,整个过程需要的只是周围各种各样的声响,仅此而已。
听起来这有点像Shazam和微信中的音乐识别,只不过它识别的是不同歌曲的声音,目的是判断演奏场所。但论文合著作者Claudio Marforio不这么认为,他表示这两者的内在运算法则截然不同。“我们起初也尝试用Shazam的方法,但是结果很不理想,因为两者的应用情况根本不一样。”
为了用户隐私,Sound-Proof并不上传声音本身,而是上传数字签名。而且,为了节省电量,它只有在接到服务器录音的命令才会开始录制声音。
论文实用性研究结果还表明,与双重认证相比,参与调查的绝大多数人都更倾向于使用声音认证方式。原因之一是,Sound-Proof只需安装在手机上即可,电脑上不必安装任何插件。而像Authy此类的公司早已发明了蓝牙传输数据的认证方式,也很简单省事。
当然Sound-Proof也有缺点,最最令人担忧的是,假设有人跟你在同一个房间,周围环境一样,并且很不幸的是他知道你的密码,这样他就能通过验证,登入你的账户了。也可能,有人和你看的电视或听的广播一样,这样也可能蒙骗Sound-Proof。当然,研究人员表示,以上事件发生的可能性很小很小。
目前为止,Sound-Proof还尚在研究阶段,但Marforio却很自信,“虽然想法还处于初级阶段,但我们一直致力于提高该应用系统的整体性能和登录速度,使其能更好地对比两种声音样本,进一步提高准确度”。
雷锋网认为,目前看来“双重认证”也挺好的,并不算特别麻烦。况且,Sound-Proof目前还不支持在他人电脑上登陆,这也很不方便,但这个点子确实很赞。
via wired
雷峰网原创文章,未经授权禁止转载。详情见转载须知。