沒搞錯,環境噪音也能成為密碼

作者 | 發布日期 2015 年 08 月 18 日 8:30 | 分類 資訊安全 , 軟體、系統 follow us in feedly
雷鋒網 配圖

去年各路名人 iCloud 帳號被盜,裸照爆了又爆,而一波未平一波又起,Reddit 也出現了同樣的問題。蘋果公司說應該採取「雙重認證」措施,保證帳號安全。



什麼是「雙重認證」呢?很簡單。比如你要登入 iClound,你的蘋果手機會收到四位驗證碼,輸入密碼之後,還需輸入驗證碼才能成功登入帳戶。這樣一來,如果有人僅僅知道你的帳戶密碼還是無法登進帳戶、竊取訊息的,他還需要你手機上的臨時驗證碼。

雙重認證比僅用密碼要安全得多,而且大概所有的帳戶都可以這樣做。但是這種方式最大的問題在哪?麻煩。每次登入帳戶,都要拿出手機、解鎖、察看驗證碼、輸入驗證碼。而且,你要是驗證碼輸慢了,它就變了,又得重新輸。這樣登入個帳戶也太費事了,所以很多人乾脆不用。

不過別擔心,瑞士聯邦理工學院的研究員們有新花樣,讓雙重認證不再頭痛。他們發明了 Sound-Proof 軟體,並且將在下週四 Usenix 安全會議上公開相關論文研究成果。

Sound-Proof 具體怎麼起作用呢?在你登錄使用了這一技術的網站時,伺服器會嘗試與你手機上的對應應用軟體進行連接,然後手機和電腦瀏覽器會同時錄下周圍的聲音。基於這短短幾秒的聲音,Sound-Proof 會創建一個數位簽名並上傳到伺服器中,伺服器對比電腦和手機的數字簽名,如果符合,則可成功在電腦上登入。這樣,是不是省了拿出手機解鎖的麻煩?而且錄音也是自動的,整個過程需要的只是周圍各種各樣的聲響,僅此而已。

聽起來這有點像 Shazam 和 iPhone 中的音樂辨識,只不過它辨識的是不同歌曲的聲音,目的是判斷演奏場所。但論文合著作者 Claudio Marforio 不這麼認為,他表示這兩者的內在演算法則截然不同。「我們起初也嘗試用 Shazam 的方法,但是結果很不理想,因為兩者的應用情況根本不一樣。」

為了使用者隱私,Sound-Proof 並不上傳聲音本身,而是上傳數位簽名。而且,為了節省電量,它只有在接到伺服器錄音的命令才會開始錄製聲音。

論文實用性研究結果還表明,與雙重認證相比,參與調查的絕大多數人都更傾向於使用聲音認證方式。原因之一是,Sound-Proof 只需安裝在手機上即可,電腦上不必安裝任何外掛。而像 Authy 此類的公司早已發明了藍牙傳輸資料的認證方式,也很簡單省事。

當然 Sound-Proof 也有缺點,最最令人擔憂的是,假設有人跟你在同一個房間,周圍環境一樣,並且很不幸的是他知道你的密碼,這樣他就能通過驗證,登入你的帳戶了。也可能,有人和你看的電視或聽的廣播一樣,這樣也可能矇騙 Sound-Proof。當然,研究人員表示,以上事件發生的可能性很小很小。

目前為止,Sound-Proof 還尚在研究階段,但 Marforio 卻很自信,「雖然想法還處於初級階段,但我們一直致力於提高該應用系統的整體性能和登錄速度,使其能更好地對比兩種聲音樣本,進一步提高準確度。」

其實目前看來「雙重認證」也挺好的,並不算特別麻煩。況且,Sound-Proof 目前還不支援在他人電腦上登入,這也很不方便,雖然這個點子確實很讚。

(本文由 雷鋒網 授權轉載) 

發表迴響