Parmy Olson
密码被盗是一个持续未能解决的问题。指纹和语音识别仍然要到多年后才能实现。如果银行想要验证其移动端的成千上万名客户的身份该怎么办呢?其中一个办法是利用他们的行为——或者至少是他们的打字行为。
北欧地区的银行已经开始为他们的移动应用程序部署一种新型安全技术,该技术能够追踪客户将PIN密码输入智能手机的力度和速度。如果采用这种办法,即使你的PIN密码被朋友所获悉,也不能遭到入侵,因为人们打字的方式会自动形成一些细微的差别,如节奏以及对按键的压力。
瑞典安全防护初创企业Behaviosec 的创始人尼尔·科斯蒂甘(Neil Costigan)表示:“我们正在监控细微的方面。例如,从一个键到另一个键的跨越,你通常按压按键的哪些角落,在什么地方停顿。你是会在按键上以划圈的方式点击还是直接点击?”
丹麦银行(Danske Bank)等北欧银行已经在使用Behaviosec的追踪技术,并且发现效果非常不错,因而科斯蒂甘称,到今年年底时,瑞典、挪威和丹麦的所有互联网银行用户都将进行双重验证——不只验证输入PIN密码是否正确,还验证他们的打字行为。由于合同要求,他并没有透露银行客户的名称,只是说数百万用户将被这项技术追踪。
该初创企业称验证的成功率比较高:在该企业为丹麦银行进行的行为追踪技术与PIN密码双重认证试验中,准确率达到99.7%。现在该公司表示,已经有来自美国的支付提供商及智能手机生产商表达了关注。
如果这项技术大行其道,将为应用程序和手机增加全新的安全防护层;对诈骗者而言,该防护层更加难以破解。黑客可以通过入侵密码数据库使数百万用户账户面临风险,但是要远程假冒某人的输入习惯却困难得多,尤其是在智能手机上。
科斯蒂甘在2011年创办了Behaviosec,当时该公司刚从瑞典吕勒奥理工大学(Lule University of Technology)分立出来。现在,据他称他们的目标是将这项技术植入到智能手机,从而让整台设备仅通过追踪击键的风格就知道使用者是谁。例如,可以知道是否有小孩把平板电脑拿起来,开始浏览YouTube视频或者重要文件。
科斯蒂甘表示,在目前的试验中,Behaviosec的算法可以在用户拿起手机后的20到60秒内确定对方是否真正的机主。对于希望保护知识产权的职业人士来说,这个时间可能太长了,不过DARPA最近向该公司进行注资,可能帮助缩短这个时间。Behaviosec的最新研究开始考虑人们如何握持和移动手机——根据来自设备的陀螺仪和加速器的数据——从而更加迅速地认证用户。
一款银行移动应用称,按照目前的形式,这项技术的运作原理是在开启PIN码的前提下首先观察用户如何打字或者滑动图案。之后,它建立一个关于该用户行为的模型,并以此来比对判断新用户。
科斯蒂甘表示:“它在不断学习。输入行为一直在被关注着,你的个人档案不断被更新……在以往通常是采用数据分析的方法,而你可以描画并伪装出他人的模型。”
不过,令人意外的是,在此背后的机器学习技术得到了大幅改进,这其实要多亏游戏行业。现代的计算机游戏越来越多地整合人工智能技术,以了解玩家的行为从而使游戏更具乐趣。换言之,如果顺着走廊走,向左转5次后,在第6次的时候将会有一个坏家伙想要向你射击。
“游戏学习你的行为并适应它,”科斯蒂甘表示,“我们也做类似的事情。我们观察你的行为,预测下一步的情况,如果不符预期,我们会作出提醒,并表示 嘿,有些地方不对路 。”
尽管科斯蒂甘提到建立起“档案”,但他表示可能要在数年之后计算机才会拥有这种有点令人担忧的能力——根据你的打字习惯,从数千人中将你认出来。确认谁不是谁是一回事,而确认谁是谁则是另一回事。“它可以达到这个地步,”他说,“不过那是在遥远的将来,可能要耗费大量内存和运算。”
译 成鹏 校徐笑音
本文来源:福布斯中文网
责任编辑:
王晓易_NE0011
