5月12日消息，據(jù)BBC報(bào)道，隨著欺詐者越來(lái)越容易竊取或猜中我們的用戶名和密碼，我們正輸?shù)暨@場(chǎng)捍衛(wèi)網(wǎng)絡(luò)安全的戰(zhàn)爭(zhēng)。那么通過(guò)怪異的方式分析我們?nèi)绾问褂酶鞣N設(shè)備，甚至我們走路的方式，能夠?yàn)槲覀兲峁╊~外的防護(hù)能力嗎？

最近當(dāng)你走在繁忙的街道上時(shí)，經(jīng)常能夠遇到所謂的“智能手機(jī)僵尸”，這些人沉迷于手機(jī)中而無(wú)視周圍的世界。但他們不知道的是，無(wú)論是他們走路的方式，還是握持這些催眠設(shè)備以及與它們交互的方式，都可向服務(wù)提供商表明自己的身份。這是個(gè)令人驚異的行為生物識(shí)別的新世界，它正處于網(wǎng)絡(luò)安全大戰(zhàn)的最前沿。

行為生物識(shí)別公司Callsign首席執(zhí)行官茲亞·哈亞特（Zia Hayat）說(shuō)：“通過(guò)手機(jī)中的加速度計(jì)和陀螺儀，我們可以衡量你的手腕力量。通過(guò)測(cè)量你的步伐，我們可以將你從人群中識(shí)別出來(lái)，準(zhǔn)確率高達(dá)1/20000，與指紋識(shí)別的精確度大致相當(dāng)。”

所以，即使欺詐者已經(jīng)竊取了你的網(wǎng)銀登錄信息或下載惡意軟件到你的手機(jī)上，這類行為軟件應(yīng)該也能夠發(fā)現(xiàn)異常，確定并非你本人想要嘗試將這些錢轉(zhuǎn)移到國(guó)外銀行中。科技公司認(rèn)為，這些生物行為特質(zhì)就像我們的聲音那樣獨(dú)特，就像莫爾斯密碼操作員可通過(guò)獨(dú)特方式發(fā)送和接受信息那樣。

行為生物識(shí)別公司BioCatch的首席執(zhí)行官艾亞爾·戈德維格（Eyal Goldwerger）稱：“認(rèn)證機(jī)制很不錯(cuò)，但是當(dāng)欺詐者已經(jīng)侵入你的系統(tǒng)中時(shí)，它就沒(méi)用了！大多數(shù)銀行欺詐都是在用戶進(jìn)行認(rèn)證之后發(fā)生的。人類與設(shè)備的交互方式顯然與惡意軟件的運(yùn)作方式截然不同。為此，即使你的手機(jī)被感染，躺在那里靜等你登陸然后進(jìn)行劫持，行為生物識(shí)別方案依然能夠發(fā)現(xiàn)其中的差異。”

圖：行為生物識(shí)別公司Callsign首席執(zhí)行官哈亞特表示，行為生物識(shí)別屬于“情報(bào)驅(qū)動(dòng)的認(rèn)證”

哈亞特說(shuō)：“如果你沒(méi)有操作手機(jī)，而它卻自己在運(yùn)行，你可能認(rèn)為是惡意軟件在操控它。我們可以利用最新智能手機(jī)上的氣壓計(jì)測(cè)量氣壓，同時(shí)它也可以顯示手機(jī)的位置，以及是否與用戶所說(shuō)的位置相吻合。”

甚至于你手指的大小（機(jī)手指覆蓋住屏幕的面積）也可以幫助設(shè)置相當(dāng)精確的簽名信號(hào)。這很容易理解，許多銀行都對(duì)這種新的安全方式產(chǎn)生興趣，Callsign的客戶包括來(lái)愛(ài)的銀行集團(tuán)和德意志銀行等。此外，Behaviosec、NuData Security以及Zighra等行為生物識(shí)別公司，也都在與從事身份管理的網(wǎng)絡(luò)安全公司合作。舉例來(lái)說(shuō)，Callsign的技術(shù)正與ForgeRock的身份管理平臺(tái)進(jìn)行整合。

ForgeRock首席執(zhí)行官邁克·艾利斯（Mike Ellis）表示：“我們正邁向密碼更少的世界，為此我們需要更多層次的身份驗(yàn)證，而行為生物驗(yàn)證機(jī)制就是其中之一，識(shí)別設(shè)備、其地理位置以及典型行為則是另一層。”

越來(lái)越多的銀行正推出語(yǔ)音認(rèn)證機(jī)制，將其作為更安全、更少侵入性的方式，以為客戶建立自己的身份。語(yǔ)音生物識(shí)別機(jī)制公司Nuance的產(chǎn)品戰(zhàn)略總監(jiān)布雷特·博蘭尼克（Brett Beranek）說(shuō)：“在神經(jīng)網(wǎng)絡(luò)和機(jī)器學(xué)習(xí)的幫助下，身份驗(yàn)證的準(zhǔn)確性已經(jīng)從98%提高至99%。”

但即便如此，博蘭尼克也承認(rèn)，還需要更多層次的驗(yàn)證后行為安全機(jī)制，以幫助用戶應(yīng)對(duì)手機(jī)遭到惡意軟件感染。戈德維格稱，除了物理行為，比如我們打字的速度以及操作手機(jī)的方式，心理行為也可能泄露身份。比如在瀏覽網(wǎng)頁(yè)時(shí)，我們會(huì)無(wú)意識(shí)地做出選擇。他說(shuō)：“你決定向下滾動(dòng)頁(yè)面的方式（包括使用鼠標(biāo)滾輪或點(diǎn)擊頁(yè)面?zhèn)冗厵谕蟿?dòng)），可以表明是你在瀏覽網(wǎng)站，而不是其他人。”

BioCatch表示，當(dāng)用戶與他們的數(shù)字設(shè)備進(jìn)行交互時(shí)，他們可以對(duì)500多個(gè)參數(shù)進(jìn)行測(cè)量。利用機(jī)器學(xué)習(xí)技術(shù)，該公司稱可在短短10分鐘的交互中，幫助建立用戶獨(dú)特的行為生物特征。

但是戈德維格說(shuō)，行為生物識(shí)別機(jī)制并非為了取代現(xiàn)有的身份認(rèn)證方法，比如語(yǔ)音、指紋以及自拍等，而是對(duì)它們進(jìn)行補(bǔ)充。這種安全機(jī)制的優(yōu)勢(shì)在于，我們所做的一切都是無(wú)縫的，不存在任何摩擦。這一切都發(fā)生在后臺(tái)，而且用戶毫不知情。這種軟件能在98%的時(shí)間里發(fā)現(xiàn)可疑活動(dòng)。

但是隱私呢？如果這些公司通過(guò)檢測(cè)我們的在線行為就可識(shí)別出我們的身份，匿名就成了空話？尋找恐怖分子加密通信方式的方法最后會(huì)變成識(shí)別我們所有人身份的方法嗎？我們真的喜歡這樣的技術(shù)嗎？戈德維格堅(jiān)持稱，BioCatch等技術(shù)不會(huì)看到任何用戶的個(gè)人身份信息，客戶（通常是銀行）也不會(huì)看到BioCatch產(chǎn)生的任何匿名行為模式。他說(shuō)：“所有銀行看到的是該用戶會(huì)話的風(fēng)險(xiǎn)評(píng)分，而我們看到的是與這個(gè)人有關(guān)的ID號(hào)碼。”

Callsign的哈亞特表示，他的公司也在做同樣的事情，原則上需要遵守現(xiàn)有資料保護(hù) 法例。但是如果欺詐者竊取某人的身份，并重新建立了新的賬號(hào)會(huì)如何？如果沒(méi)有用戶以前的行為進(jìn)行對(duì)比，行為生物識(shí)別技術(shù)能確保其肯定有效嗎？

BioCatch認(rèn)為，即使在這些情況下，行為分析也能提供幫助。戈德維格說(shuō)：“欺詐者可能不熟悉這些數(shù)據(jù)，因?yàn)檫@些根本不是他們產(chǎn)生的。我們可以發(fā)現(xiàn)這其中的差異。我們可以注意到他們填寫不同的申請(qǐng)表格，因?yàn)樗麄兺ǔ２粫?huì)那樣做。”