2013年9月17日 星期二

字符密碼風險加大:新型認証技術崛起






  導語:美國《紐約時報》網絡版今天刊登題為《觸摸、語音和心臟,都能讓機器認識你》(Machines Made to Know You, by Touch, Voice, Even by Heart)的評論文章稱,雖然用戶名和密碼這種傳統認証模式已經延續多年,但隨著高科技設備和服務種類的逐漸增多,這種模式似乎已經難以適應時代的發展。於是,各種各樣的新型身份識別技術便脫穎而出。

  以下為文章主要內容:

  新型技術

  機器怎麼認証人類的身份?虹膜、脈搏、指紋、聲音,都可以幫上忙。

  從互聯網發展之初,身份認証便是一大難題。但現在,隨著人們對傳統的用戶名和密碼系統的安全風險越發擔憂,很多高科技候選方案逐漸湧現,有些甚至直接來自科幻小說。

   Apple 公司週二推出了兩款新iPhone,其中的iPhone 5S首次配備了指紋傳感器,可以不必輸入密碼,直接利用指紋打開手機和購買產品。這項新功能是目前正在開發的一系列認証工具之一,當然,並不僅僅針對手機。

  與指紋傳感器一樣,其中部分功能需要使用人身上的一些不可變的「編碼」,還有一些則會把手機變成認証設備。

  在眾多生物特徵識別工具中,最新穎的是由多倫多大學的密碼學家開發的新型腕帶,它內置的電壓計可以讀取脈搏。

  「你只要戴上它,它就能認出你。它可以安全地將你的身份發送給周圍的一切。」該產品的發明人之一卡爾‧馬丁(Karl Martin)說。

  安全性是這款名叫Nymi的腕帶最大的賣點。雖然心臟可能出問題,但馬丁卻承諾,脈搏不會有問題。

  創業公司

  這些新技術的誕生正值安全和隱私擔憂日益高漲之際,主要原因是傳統的在線身份認証模式風險越來越大。很多熱門網站的用戶名和密碼紛紛被竊,上月有報導稱,就連長達55個字符的密碼都可以被破解。

  舊金山的Clef公司開發了一款流動應用,可以直接向桌面電腦發送一個密鑰。然後,你試圖進入的網站會根據手機識別出你,而不必單獨輸入密碼。

  拉斯維加斯創業公司LaunchKey目前仍處於測試階段,他們也希望通過手機來認証。你需要註冊LaunchKey網站,然後將自己的賬號與特定的手機綁定。之後,當你想要登錄網站或流動應用時,只要對方兼容LaunchKey的服務,便會向你的手機發送一條提醒。通過一款應用,只需要將手指滑向螢幕上的一個圖標,便可完成認証授權。

  位於加州紅木城的OneID公司也提供了一種可以用於眾多網站和設備的通用登錄服務。在演示視頻中,OneID工程師吉姆‧芬頓(Jimi Fenton)証明了如何利用OneID打開自己家的車庫門。

  芬頓採訪中表示,很多新型上網設備的軟肋就是缺乏安全的訪問方式。

  「如果你把所有東西都連上網,就需要有各種好辦法來控制各種訪問權限,不僅要具備安全性,還要足夠便利。」他說,「用戶名和密碼並不是適合所有設備的好辦法。」

  行業聯盟

  指紋傳感器等生物特徵識別工具已經應用在筆記本等設備上,但卻不能確保每次都正常運行。 Apple 公司的最新指紋傳感器效果如何,以及用戶將怎樣利用這種工具,都將非常值得關注。

  與此同時,指紋傳感器也可能導致安全問題。當 Apple 公司週二宣佈這項功能時,引發了眾多質疑和擔憂。不過,該公司表示,只會把用戶的指紋信息存儲在手機上,不會發送到網絡服務器,也不會嚮應用開發者開放。

  但還有一個問題:如果不能被各大網站廣泛採用,Nymi、OneID和這一領域的其他創業公司都很難吸引用戶。

  加州大學伯克利分校正在開發一種更有吸引力的方案,可以利用簡單而廉價的耳機讀取用戶的腦電波,借此實現認証,從而省去了輸入密碼的繁瑣程式。

  技術人員表示,僅靠一種方法不太可能改變認証問題。網站、汽車或銀行賬號可能都要使用不同的工具。

  一家名為Fido Alliance的行業聯盟,目前正在與多家軟硬件公司合作開發一整套密碼候選方案的標準,以便規範行業發展。這套標準可能會在今年年底發佈。Fido Alliance的成員企業正在測試產品,例如指紋識別器以及能夠識別面部和聲音的軟件。有朝一日,用戶可能只需要跟電腦說一句話即可登錄電子商務網站,或者瞥一眼PayPal流動應用即可完成網上購物。

  通用登錄

  Facebook或許是當今最成功的一站式身份驗証服務。目前已經有數以百萬的網站與Facebook賬號打通,這也可以加強Facebook對用戶的瞭解,從而針對用戶發佈更有針對性的廣告。但風險也顯而易見,一旦有不法分子竊取了你的Facebook賬號,便可以在整個互聯網上假冒你的身份。

  Mozilla也在大力推廣自家的Persona服務。Mozilla首先通過你的電子郵件服務提供商確認該賬號的確屬於你。之後,要使用支援Persona登錄服務的網站時,只需要借助原始的驗証郵件即可登錄,不必再輸入密碼。

  Mozilla的身份認証產品目前只與為數不多的網站打通,該公司發言人號稱達到「數千個」,但卻遠低於Facebook的數百萬個。

  Mozilla工程副總裁喬納森‧南丁格爾(Jonathan Nightingale)表示,我們周圍湧現的各種新型上網設備加劇了密碼替代方案的緊迫性。「為周圍的一切都賦予智能是一個很好的想法,但它們未必都會配有螢幕、鍵盤和密碼管理器。」他說,「不能只是依賴傳統的字符密碼。」(鼎宏)



.字符密碼風險加大:新型認証技術崛起
http://digital1010.blogspot.com/2013/09/blog-post_6936.html