近年網絡攻擊和數據外洩的保安事故頻生,除了涉事企業或網站要加強保安措施外,用戶也要負上一定責任。如 LinkedIn 於 2012 被黑客入侵,外洩大量帳戶密碼的事件中,資料顯示最多「專業人士」用的密碼仍然是 123456。現代人上網開設多個賬號,要記住的帳戶密碼少說也有十多個,不少人為求方便就使用了簡單易被破解的「蠢密碼」和「弱密碼」。
Google 日前就在其年度開發者大會上介紹名為 Trust API 的認證系統,可綜合多種生物特徵驗證用戶身份,預計該系統將於下月開始測試,最快可在年底面世,最終目標是取代沿用多年的密碼認證系統。
多重用戶特徵混合驗證 安全度勝指紋解鎖 10 倍
Google 旗下的先進技術開發部 (Advanced Technology and Projects group, ATAP) 主管 Daniel Kaufman 在 Google I/O 2016 上介紹該套名為 Trust API 的認證系統。有別於現時單一的驗證方式,日後 Android 用戶在使用 Google 服務時,Trust API 會透過多項生物特徵如面容、聲音以至打字或滑手機時的習慣,以及身處的位置和是否使用慣用的 WiFi 網絡等多項混合資訊來驗證用戶身份。
Google 表示以上任何一項的安全措施都有機會破解,但透過混合多種措施的認證方式,比起單一的驗證方式無疑更安全有效,該公司更指 Trust API 認證系統若成功推行,安全度較之指紋認證超出十倍。
讀者可能覺得 Google 有誇大之嫌,但事實上指紋認證並非絕對安全,以公認保安措施充足的 Apple iOS 系統為例,其 Touch ID 指紋認證系統更是帶起了智能手機上生物特徵認證的潮流。
但該技術並非牢不可破,近日 Unwire 就做過相關實驗,只需利用牙科用的咬合紀錄用印模材和泥膠或紙粘土,就成功破解大部分智能手機的指紋認證系統(Android 和 iOS 系統兩者均有),可見單一的認證方式難以百分百確保安全,反而 Google 的 Trust API 的混合認證方式雖然仍待測試成效,但亦開拓了新的驗證概念。
值得一提的是,由於 Trust API 採用混合認證的方式,因此有別於傳統密碼的對或錯驗證概念,並非每項認證指標都需要完全符合才能通過認證,而是 Trust API 系統會根據評核「合格分數」來認證用戶身份,而該分數可根據服務的重要程度如網上銀行服務等,作出適當調整提高「合格分數」或使用多項生物特徵認證。
Trust API 認證系統預計將於下月開始測試,最快可在年底面世。Google 方面透露系統將開放給第三方測試,並容許其他機構的保安系統使用,而初期會首先供 Android 裝置的銀行客戶測試。
Source: Google Phandroid The Verge