想像一下,你坐在電腦前,輸入用戶名,不需要絞盡腦汁地回憶密碼,就可以開始工作,這是一件多麼愜意的事情。據美國《紐約時報》網站報道,美國國防部高級研究計劃局(DARPA)和其他科研團隊目前正致力於將這一美好的想像變成現實,讓人類徹底對密碼說“拜拜”。
通過鍵盤敲擊方式驗證身份
DARPA的宗旨是贊助一些“革命性的、高回報的研究”以供軍方使用。互聯網技術最初就是由DARPA贊助隨後變成通用技術的標杆性研究。
DARPA的項目經理理查德·桂多利茲領導的科研團隊正在研發一種新技術,該技術僅僅依靠每個人與眾不同的行為特征(比如敲擊鍵盤時不同的力度和習慣、方式等)來進行身份認證,他將這項技術稱為“認知指紋技術”。他說,有了最新技術,諸如指紋掃描儀或虹膜掃描儀等生物識別設備就可以“下崗”了。
桂多利茲表示,諸如“6tFcVbNh^TfCvBn”這樣的密碼符合國防部所謂的“強密碼”的定義,但“問題在於,它們並不符合人類的習慣,人類天生就很難記住這些字母和數字的隨機組合”。
去年11月,DARPA在阿靈頓舉辦了一場學術研討會,在會上,桂多利茲發表了題為“超越密碼”的講話。他說,人類一般使用一定的模式來作為密碼,使密碼很容易管理。在會上,他還展示了5組密碼,都是“Jane123”所包含字符簡單的排列組合,他表示,所有這些密碼都很容易被破解。
他說:“我希望做到的事情是,用戶坐在電腦前,確認自己的身份,然後就可以開始工作了。認證工作在後台進行,用戶無法看見,因此也不會對用戶的工作造成干擾。”
還有別的學術專家也正在嘗試其他僅僅通過用戶使用計算機的不同行為習慣就可進行身份驗證的方法。
卡內基梅隆大學的計算機科學專家羅伊·馬克西查閱了與“擊鍵動力學”有關的研究報告,這些研究報告闡述了用戶按壓在特定鍵上的時間長短以及從一個鍵移到另一個鍵耗費的時間等等。
馬克西教授表示,敲擊鍵盤是我們進行過無數次的運動,這並非人們深思熟慮之後做出的動作,而是受到某種身體“馬達”的控制,“因此,從生理學上來說,模仿他人的按鍵動作幾乎是不可能完成的任務”。
他還舉例說,比如,計算機用戶平均按壓一個鍵的時間為100毫秒,假定一名黑客打算模擬一個敲擊鍵盤的速度略快於平均值的人的動作(比如按鍵時間為90毫秒),“那麼,這名欺騙者必須要有意識地將按鍵時間縮短10毫秒,想像一下,人們隨意眨動一下眼睛都需要275毫秒,因此,進行這樣的控制似乎並不現實,很容易引起別人的懷疑”。
他還指出,有證據表明,用戶的情緒狀態會影響敲擊鍵盤的節奏。但是,就像即使一位技術拙劣的演奏家演奏自己熟悉的樂曲人們都能識別出來一樣,他認為,軟件也能識別出一個人獨特的“內心節奏”,即使這種內心節奏受到情緒、困倦或者醉酒等情況的影響,軟件依然能夠“慧眼識珠”。不過,他也補充說,內心節奏這一概念還沒有被實驗證實。
美國佩斯大學的計算機學教授查爾斯·塔伯特也進行了一個與敲擊鍵盤生物識別有關的研究,該研究通過觀看學生們敲擊鍵盤在線給出測試題答案的方式來驗證他們的身份。通過該研究,他領導的實驗團隊已經研發出了一套軟件,能夠對每名學生按壓鍵盤的獨特模式進行分析,結果表明,其身份驗證的准確率高達99.5%。
依靠軟件監控“闖入者”
DARPA希望能夠研究出一套可快速驗證用戶身份的系統,而不需要耗時收集與敲擊鍵盤幾百下有關的數據。不過,塔伯特表示,不速之客在互聯網內部的運動會顯示出無法遮掩的異常,而他們研發的軟件能夠探測到這種異常,從而將闖入者攔截。
哥倫比亞大學的計算機科學專家爾瓦托勒·斯托爾佛也研發出了一套軟件,能使用一種簡單的方式——在計算機上放置誘騙文件來追蹤闖入者的蛛絲馬跡。斯托爾佛說:“我們讓用戶將一個名為信用卡的這種很具誘惑性的文檔放置在計算機上。用戶當然知道這只是一個誘餌,但是,闖入者會受到引誘打開它,結果一伸手就被抓。”
斯托爾佛教授解釋說,當誘騙文件被打開時,系統軟件會啟動並核查這個人是否已經在計算機上進行了文件搜索,是否滿足期望的搜索模式,如果匹配失效,系統會發出警報並要求用戶證實其身份。
DARPA要求計算機系統能夠持續不斷地對用戶的行為進行監控,因為現在人們廣泛使用的基於密碼的系統沒有辦法“證實最初通過驗證的用戶是否仍在掌控鍵盤”。
馬克西教授也在進行另外一個行為生物識別用戶驗證研究:鼠標動力學。他解釋道:“每個人使用鼠標的方式都與眾不同,諸如你讓鼠標在屏幕前移動的速度、移動的路徑(直線還是曲線等)以及什麼時候出現抖動等都是完全不一樣的,因而可以將此作為身份驗證的模式。”
科學家們表示,不需要密碼的安全系統更符合人類的天性,也讓人類容易犯錯的大腦得以逃脫密碼的桎梏。(記者 劉霞)