新一代密码崛起 脑电波与笑脸齐飞
■本报见习记者 袁一雪
为了让网络上的个人信息更安全,研究人员从未停止过对系统鲁棒性(Robust)的探索。但当密码加验证码的手段也渐渐土崩瓦解的时候,下一个挺身而出保卫信息安全的是谁?
为了让网络上的个人信息更安全,研究人员从未停止过对系统鲁棒性(Robust)的探索。当密码加验证码的手段也渐渐土崩瓦解的时候,下一个挺身而出保卫信息安全的接替者正在努力被测试中。
美国宾厄姆顿大学等机构的研究人员报告说,让志愿者阅读一些常见的缩略词如FBI或DVD等,同时测量他们大脑中与阅读和认识词语有关部位的脑电波,发现即便是读同一个词,每个人的脑电波特征都不一样,这一点说明脑电波有实用潜力成为密码。
如果你觉得读取翻译脑电波的工作稍显复杂,那么用表情符号作为密码肯定会受到怕麻烦人的欢迎。6月15日,来自英国的安全软件开发公司Intelligent Environments发布了世界上第一个表情密码系统,用44个表情符号做PIN码,有3498308种排列,比传统密码系统的安全性能提高了480倍。
瞧,多么有意思的未来密码。不过,它们虽然看起来很炫,但安全性怎样呢?
寻找更“坚固”的密码
挖鼻、点赞、微笑、装傻……当我们点开一个个可爱的表情符号时,电脑内部的“反应”并没有这么可爱。冒号、中横线、左括号就是一个微笑的表情组合……同理,其他的标签符号也是这样“拼凑”而成。从专业角度看,“表情符号密码属于图形口令的一种。”西安电子科技大学副教授高海昌告诉《中国科学报》记者。
图形口令最早由G.Blonder在1993年提出,“图形口令提出的初衷就是利用心理学研究发现人对于图形的记忆能力要强于数字。比如你看过一张图片后,几个月后再看到这张图片,也能回忆起来。但是如果给你一串数字,看过之后几周基本都记不起来了。”高海昌解释说。
按照机制原理的不同,图形口令大概可以分为三类,即基于绘制的、基于小图标选择的和基于一张大图片上点击位置的。表情符号则属于其中的第二类。高海昌表示,图形口令确实在记忆性和口令空间方面要优于传统的数字文本口令。
相较而言,脑电波密码则跳出了传统密码的范畴,属于另一个身份认证领域范畴——生物特征识别。目前,应用到生活中常见的生物特征识别码包括指纹、掌纹、虹膜等。高海昌解释说,生物特征具有唯一性,而且不用记忆任何密码,在一些对安全性要求比较高的场合得到了应用。
未来发展趋势
不论是表情符号密码还是生物识别特征密码,都是网络安全保卫战的过程——在增强密码安全性的同时尽量便捷。英国记忆术专家、思维导图的发明者托尼·布赞(Tony Buzan)就曾经对媒体表示:“表情密码利用了人类对于图片的卓越的记忆能力,这种能力是在人类进化史上渐渐固定下来的。对于以图像形式出现的信息,我们总是更容易记住,这就是为什么表情密码比传统PIN码要好。”
或许表情密码的未来会更受欢迎,因为生物识别特征密码都离不开专门的设备进行辅助验证,如虹膜扫描仪、指纹扫描仪等,所以大大限制了其应用。“不过现在随着科技的发展和硬件成本的下降,指纹扫描仪、摄像头等设备都已经标配到了个人手机、笔记本电脑等设备上。很多手机和笔记本电脑也采用指纹扫描来代替传统的数字文本口令。”高海昌说。
2013年,德勤公司曾发布预测称,超过90%的密码都不再安全。而通过发送到用户注册手机上的验证码、用户指纹、USB Key等多重信息认证的方式,可以有效保证密码的安全。早在2011年,IBM公司就曾经预测过,“多元验证生物特性”将帮助人们从传统密码中解放出来。这种“多元验证生物特性”就是指生物识别特征。IBM称,未来人们走到ATM前,只要对着可识别视网膜独特图形的微型传感器说出自己的名字或看一看它,就能安全地取出钱。人们还能通过相同方法,在手机或平板电脑上查看账目信息。
还需时间检验
然而,这两种密码要想大范围推行还需要时间的验证。“表情符号密码生成内容比较复杂,不利于大规模部署和使用。所以图形口令虽然已经被提出并研究十余年,但并没有替代传统数字文本口令。”高海昌说。尽管,现在也有些商用系统已经在使用图形口令,比如,最典型的就是安卓手机系统的九宫格锁屏,和Windows 8操作系统可以选用的图形口令登陆机制,但是,“图形口令是否能完全取代数字文本口令,还需要时间检验。”高海昌说。
美国得州理工大学脑科学讲席教授、脑成像研究院院长唐一源也在接受《中国科学报》记者采访时表示:“尽管脑电波作为密码的文章中提到‘每个人的脑电波特征不一样’,但这句话应该是在具体语境下才有效,不能泛泛说不同。个体差异很大,但人类认知的大脑特征应该有共同也有不同的成分。”
而且,高海昌表示,这类生物特征技术是否能完全替代数字口令,也不是只受限于设备,也受个人习惯、个人隐私的顾虑等多方面的因素制约。对此,唐一源也认为:“目前科研和临床用的脑电测量本身对人无害,脑电波作为密码已经超出了简单的科研范畴,涉及道德伦理和个人隐私。”所以,脑电波的发展“更像是未来的期望,需要深入研究”。
链接
有趣的密码
电子气场
剑桥大学计算机实验室的Frank Stajano 曾提出一种方案:电子气场(electric aura)。气场由身上的电子设备发出,范围是用户周边的二至三英尺内。气场能够确认设备所有人的身份,用户其他设备若要正常工作的话,必须处于气场的范围之内。这不仅解决了密码问题,还有其他方面的应用,比如,盗贼可以偷走你的车钥匙,但是打不开车门。
虹膜扫描
一家来自纽约的安全公司EyeLock 也在尝试用更先进的生物密码来代替传统密码,他们的武器是虹膜扫描。Myris就是他们带来的设备,它可以扫描用户虹膜上的240个关键节点,然后生成一个长度为2048比特的数字签名。使用时,使用者只要抓起Myris,然后扫描一下眼球就能完成账号登录。
意念密码
UC Berkeley School of Information 学校的研究人员使用生物传感技术,利用 passthoughts(暂译作密码意念)来通过计算机验证密码,前提是用户需要头戴一个价值100 美元的设备——NeuroSky Mindset。它是通过蓝牙跟电脑无线连接,设备的传感器贴着用户的前额,然后从大脑获得脑电图信号。
心跳识别
Nymi 由多伦多的生物识别技术公司 Bionym 开发,该设备的特别之处在于,使用每个人独特的心电图来进行身份认证。研究团队发现可以通过提取心跳特征来创建生物识别模板。虽然紧张的时候心跳会加速,从而导致心跳波形发生改变,但本质上是相同的心跳模式。(原鸣整理)