你可能不信,周圍的噪音也能成為密碼!
去年各路名人iCloud賬號被盜,裸照爆了又爆,而一波未平一波又起,Reddit也出現了同樣的問題。蘋果公司説應該採取“雙重認證”措施,保證賬號安全。
什麼是“雙重認證”呢?很簡單。比如你要登陸iClound,你的蘋果手機會收到四位驗證碼,輸入密碼之後,還需輸入驗證碼才能成功登入賬户。這樣一來,如果有人僅僅知道你的賬户密碼是沒法登進賬户、竊取信息的,他還需要你手機上的臨時驗證碼。
雙重認證比僅用密碼要安全得多,而且貌似你所有的賬户都可以這樣做。但是這種方式最大的問題在哪兒?麻煩。每次登陸賬户,都要拿出手機、解鎖、查看驗證碼、輸入驗證碼。而且,你要是驗證碼輸慢了,它就變了,又得重新輸。這樣登個賬户也太費事兒了,所以很多人乾脆不用。
不過別擔心,瑞士聯邦理工學院的研究員們有新花樣,讓雙重認證不再頭痛。他們發明了Sound-Proof軟件,並且將在下週四Usenix安全會議上公開相關論文研究成果。
Sound-Proof具體怎麼起作用呢? 在你登錄使用了這一技術的站點時,服務器會嘗試與你手機上的對應應用進行連接,然後手機和電腦瀏覽器會同時錄下周圍的聲音。基於這短短几秒的聲音,Sound-Proof會創建一個數字簽名並上傳到服務器中,服務器對比電腦和手機的數字簽名,如果符合,則可成功在電腦上登入。這樣,是不是省了拿出手機解鎖的麻煩?而且錄音也是自動的,整個過程需要的只是周圍各種各樣的聲響,僅此而已。
聽起來這有點像Shazam和微信中的音樂識別,只不過它識別的是不同歌曲的聲音,目的是判斷演奏場所。但論文合著作者Claudio Marforio不這麼認為,他表示這兩者的內在運算法則截然不同。“我們起初也嘗試用Shazam的方法,但是結果很不理想,因為兩者的應用情況根本不一樣。”
為了用户隱私,Sound-Proof並不上傳聲音本身,而是上傳數字簽名。而且,為了節省電量,它只有在接到服務器錄音的命令才會開始錄製聲音。
論文實用性研究結果還表明,與雙重認證相比,參與調查的絕大多數人都更傾向於使用聲音認證方式。原因之一是,Sound-Proof只需安裝在手機上即可,電腦上不必安裝任何插件。而像Authy此類的公司早已發明了藍牙傳輸數據的認證方式,也很簡單省事。
當然Sound-Proof也有缺點,最最令人擔憂的是,假設有人跟你在同一個房間,周圍環境一樣,並且很不幸的是他知道你的密碼,這樣他就能通過驗證,登入你的賬户了。也可能,有人和你看的電視或聽的廣播一樣,這樣也可能矇騙Sound-Proof。當然,研究人員表示,以上事件發生的可能性很小很小。
目前為止,Sound-Proof還尚在研究階段,但Marforio卻很自信,“雖然想法還處於初級階段,但我們一直致力於提高該應用系統的整體性能和登錄速度,使其能更好地對比兩種聲音樣本,進一步提高準確度”。
雷鋒網認為,目前看來“雙重認證”也挺好的,並不算特別麻煩。況且,Sound-Proof目前還不支持在他人電腦上登陸,這也很不方便,但這個點子確實很贊。
via wired
資料來源:雷鋒網
作者/編輯:萌萌的巨人