你可能不信,周圍的噪音也能成為密碼!


去年各路名人iCloud賬號被盜,裸照爆了又爆,而一波未平一波又起,Reddit也出現了同樣的問題。蘋果公司説應該採取“雙重認證”措施,保證賬號安全。

什麼是“雙重認證”呢?很簡單。比如你要登陸iClound,你的蘋果手機會收到四位驗證碼,輸入密碼之後,還需輸入驗證碼才能成功登入賬户。這樣一來,如果有人僅僅知道你的賬户密碼是沒法登進賬户、竊取信息的,他還需要你手機上的臨時驗證碼。

雙重認證比僅用密碼要安全得多,而且貌似你所有的賬户都可以這樣做。但是這種方式最大的問題在哪兒?麻煩。每次登陸賬户,都要拿出手機、解鎖、查看驗證碼、輸入驗證碼。而且,你要是驗證碼輸慢了,它就變了,又得重新輸。這樣登個賬户也太費事兒了,所以很多人乾脆不用。

不過別擔心,瑞士聯邦理工學院的研究員們有新花樣,讓雙重認證不再頭痛。他們發明了Sound-Proof軟件,並且將在下週四Usenix安全會議上公開相關論文研究成果

Sound-Proof具體怎麼起作用呢? 在你登錄使用了這一技術的站點時,服務器會嘗試與你手機上的對應應用進行連接,然後手機和電腦瀏覽器會同時錄下周圍的聲音。基於這短短几秒的聲音,Sound-Proof會創建一個數字簽名並上傳到服務器中,服務器對比電腦和手機的數字簽名,如果符合,則可成功在電腦上登入。這樣,是不是省了拿出手機解鎖的麻煩?而且錄音也是自動的,整個過程需要的只是周圍各種各樣的聲響,僅此而已。

聽起來這有點像Shazam和微信中的音樂識別,只不過它識別的是不同歌曲的聲音,目的是判斷演奏場所。但論文合著作者Claudio Marforio不這麼認為,他表示這兩者的內在運算法則截然不同。“我們起初也嘗試用Shazam的方法,但是結果很不理想,因為兩者的應用情況根本不一樣。”

為了用户隱私,Sound-Proof並不上傳聲音本身,而是上傳數字簽名。而且,為了節省電量,它只有在接到服務器錄音的命令才會開始錄製聲音。

論文實用性研究結果還表明,與雙重認證相比,參與調查的絕大多數人都更傾向於使用聲音認證方式。原因之一是,Sound-Proof只需安裝在手機上即可,電腦上不必安裝任何插件。而像Authy此類的公司早已發明了藍牙傳輸數據的認證方式,也很簡單省事。

當然Sound-Proof也有缺點,最最令人擔憂的是,假設有人跟你在同一個房間,周圍環境一樣,並且很不幸的是他知道你的密碼,這樣他就能通過驗證,登入你的賬户了。也可能,有人和你看的電視或聽的廣播一樣,這樣也可能矇騙Sound-Proof。當然,研究人員表示,以上事件發生的可能性很小很小。

目前為止,Sound-Proof還尚在研究階段,但Marforio卻很自信,“雖然想法還處於初級階段,但我們一直致力於提高該應用系統的整體性能和登錄速度,使其能更好地對比兩種聲音樣本,進一步提高準確度”。

雷鋒網認為,目前看來“雙重認證”也挺好的,並不算特別麻煩。況且,Sound-Proof目前還不支持在他人電腦上登陸,這也很不方便,但這個點子確實很贊。

via wired


資料來源:雷鋒網
作者/編輯:萌萌的巨人

如果喜歡我們的文章,請即分享到︰