我们知道,目前的身份认证主要有三种方式:“我们所拥有的”、“我们所知道的”和“我们所固有的”。第一类包括身份证、USB Key等,第二类指口令、密钥等,最后一类就是现在热门的生物特征识别,比如指纹、人脸、虹膜、声音、签名等。尤其是生物特征识别,iPhone5s(指纹)和iPhone X(脸部)可是推广这一技术的最佳代言人。
而从密码学理论上说,单个要素独立存在时都有其脆弱性。如果能在单一方式的基础上再结合另外一种方式,即“双因子身份认证”(2FA),那么访问的安全性也就可以有效提高。
因此,佛罗里达国际大学(FIU)和彭博社的研究人员创建了一种更简单的双因子认证方法:我们身边所拥有的很多小玩意儿都能用来进行身份验证,比如鞋子、手链和水杯。听起来比掏身份证或者拿U盾方便多了,也省得暴露敏感信息。
操作过程是这样的:你先选择一个身边比较私密的物品,然后用带相机的移动设备给它拍张照片作为参考图像。之后当你每次要进行双因素身份验证时,你只需将这个物品对准相机就行了。
你可以在任何带相机的设备上使用Pixie,智能手机、手表、iPad都可以。如果你拍的图片质量太差,该系统会提醒你重拍。
研究人员正在给手链拍照以通过验证 图片来源:The Verge(下同)
拍手表(设置参考图像、确认参考图像、完成FIU大学的认证、进行测试)
这个基于摄像头的远程认证解决方案名叫Pixie,它的原理类似于二维码,只不过比较隐秘。Pixie也与生物识别有些相似,但是识别的对象是可拆离的,比如一本书。
而且由于Pixie是在本地处理图像识别,不依赖网络,因此也不容易受到网络攻击,这点可能要比发送动态密码到手机的2FA方案好很多。
比起输入动态口令,使用物品进行身份验证的确更容易,不过它比面部识别慢,而且也没有面部识别那么准确,因为人们选择的物品比人眼和脸形更加多样化。
但使用物品进行身份验证也有优势,那就是物理对象可以随时换,但人脸是唯一的,一旦生物特征模板丢失将导致非常严重的隐私泄露。
据研究人员介绍,用户在拍摄参考图像的时候不一定要拍下整个物品,因为Pixie可以识别目标对象的特定部分,例如衬衫或鞋子图案的一部分。
“Pixie可以准确地验证候选图像是否包含与先前捕获的参考图像相同的部分,这个设定使Pixie具备了弹性防御能力:其他人如果想要通过你的身份认证的话,需要拿到你的移动设备和拍的参考物品,然后还得猜测物品的正确部分。”
也就是说,攻击者如果只知道你的秘密解锁物品是什么还不够,他们也必须知道用来认证的是该物品的哪个部分。
研究人员使用从公共数据库收集的40,000个物品图像对Pixie进行了1430万次的身份验证尝试,发现它为攻击者解锁的概率为0.09%。即使攻击者知道拍摄什么对象,成功率仍然很低。
虽然研究人员没有计划将Pixie引入市场,但该项目是一个概念验证,表明物理对象是进行双因子身份验证的一个可行方法。如果使用更先进的图像处理技术(深度神经网络)的话,Pixie应该会变得更加容易使用。
最后,想象以下的这些东西成为未来身份验证的额外“密码”吧(它们都是经过测试的):手链、手表、水杯、钥匙扣、太阳镜、鞋子、纹身、口香糖包装、甚至是iPhone手机屏幕的主菜单。