English  简体中文
   

用于认证的人工智能

2018-03-02       撰稿人:北京数字认证股份有限公司 宋玲娓


字符串密码是人们普遍使用的保护数字资产的方式。不同的在线帐号应使用不同的密码,而且密码应:

大于8个字符

使用大小写

使用数字和特殊字符

每90天更换并且只使用一次

等等

不过由于各种原因,日常人们会登录15-20个网站,而一般人无法记住超过10个符合上述标准的密码。 这意味着我们都应该使用一个大的密码表。 事实是,很少有人这样做,我们最终都会使用相同的密码。 这意味着,如果使用的某个网站遭到黑客入侵,那么黑客就可以在很多其他网站上尝试使用该ID和密码组合。 这让我们想知道,为什么我们的技术愿望直接跳到“脑机接口”,而没有先解决密码认证的基本问题?

有许多现实的使用生物识别技术的方法可以来解决此问题。 中国人在脸部识别技术方面取得不错的进展,如“微笑支付”。 其他公司如BioCatchare,使用触摸智能手机的方式来确定它是否实际上是本人(压力,动作等)。 这两种方法的共同之处在于它们实际上无缝地进行交互。 正是这种无缝的体验才能让未来的公司轻松销售。

成立于2011年的英格兰创业公司Callsign,正在研究的技术被称为智能驱动认证或IDA,这是超越传统“双因素认证”的概念。 让我们解释一下。

为了防止黑客窃取密码然后在其他网站上使用它, 通常的方法是使用“双因素认证”。 当登录某帐号时,首先输入密码,然后在智能手机上提示输入一个4位数字的pin码,然后访问帐户。 即使黑客知道密码,他们也无法通过“第二认证因素”。 这是一个双因素的例子,但可以有任何数量的因子,如下所示:
 

正如上面所示,双因素是移动设备示例。 然后多因素融合了额外的安全层,如生物识别技术。 Callsign的IDA据说是最全面的选择。 Callsign开发了深度学习算法,可以评估数百个数据点,以确保使用设备的人员实际上是本人。 这种技术可以向用户发出“无形的挑战”,这是“无摩擦的”,这意味着用户甚至不会注意到它们正在发生。

假设一名犯罪分子偷走你的笔记本电脑,并决定从你的账户中转移500美元(任何更大的可能会触发预警)。 由于密码存储在浏览器中,罪犯可以轻松登录。 接下来会发生什么:

作为转让的一部分,罪犯必须输入目的地银行名称。 这些算法注意到,这个银行名称的输入方式并不像您通常输入的内容。 它变得可疑。

算法然后使鼠标光标消失。 犯罪分子做的是我们所做的一切小动作,这让光标显现出来。 该算法现在更加可疑,因为摆动不符合你的摆动。
 
       算法然后抛出一个日期轮为您选择传输的日期。 它知道你如何使用这个日期轮,犯罪分子使用它的方式完全不同。 该算法实际上相信现在不是你本人。
   n 作为最后一步,算法会提示您输入全名。 任何人都无法模仿你输入姓名的方式。 犯罪者未能通过最后一次测试,算法将其踢出并锁定帐户。

在此情况下,只要简单的屏幕就可以验证用户。考虑到的其他变量包括执行登录尝试的位置,一天中的时间,您的互联网提供商和浏览器,甚至智能手机中的加速度计会显示您持有手机的方式。 一旦算法变得可疑,就可以请求验证像指纹这样的硬数据,“对相机微笑”,语音签名,或者甚至只是旧密码,在此期间他们可以看到你如何输入它。

Callsign的技术已经被劳埃德银行和德意志银行所采用,成千上万的用户在全球进行认证。 Callsign声称他们比BioCatch等竞争对手更好,因为他们使用更多的变量,因此他们具有更高的准确性。根据专家的评估,错误的拒绝率(即用户不能从隐性和显性因素的组合中识别)小于0.00005%,而错误接受率(即欺诈者能够通过所有隐含和显性因素)小于0.00002%。

除了Callsign和BioCatch,还有一家名为Transmit Security的以色列公司,为以色列几家主要银行提供摆脱传统密码的服务。毫无疑问,除了这三个创新公司以外,还有数十家其他创业公司正在这个领域发挥作用,并且拥有大量的在线账户,这一领域有足够的空间可以让不止一个公司获得成功。
 
中国密码学会电子认证专业委员会 版权所有
地址:北京市海淀区闵庄路甲89号 4号楼
联系电话:010-82546543-686
京ICP备05046059号-4