去年各路名人 iCloud 账号被盗,裸照爆了又爆,而一波未平一波又起,Reddit 也出现了同样的问题。苹果公司说应该采取“双重认证”措施,保证账号安全。
什么是“双重认证”呢?很简单。比如你要登入 iClound,你的苹果手机会收到四位验证码,输入密码之后,还需输入验证码才能成功登入账户。这样一来,如果有人仅仅知道你的账户密码还是无法登进账户、窃取讯息的,他还需要你手机上的临时验证码。
双重认证比仅用密码要安全得多,而且大概所有的账户都可以这样做。但是这种方式最大的问题在哪?麻烦。每次登入账户,都要拿出手机、解锁、察看验证码、输入验证码。而且,你要是验证码输慢了,它就变了,又得重新输。这样登入个账户也太费事了,所以很多人干脆不用。
不过别担心,瑞士联邦理工学院的研究员们有新花样,让双重认证不再头痛。他们发明了 Sound-Proof 软件,并且将在下周四 Usenix 安全会议上公开相关论文研究成果。
Sound-Proof 具体怎么起作用呢?在你登录使用了这一技术的网站时,服务器会尝试与你手机上的对应应用软件进行连接,然后手机和电脑浏览器会同时录下周围的声音。基于这短短几秒的声音,Sound-Proof 会创建一个数位签名并上传到服务器中,服务器对比电脑和手机的数字签名,如果符合,则可成功在电脑上登入。这样,是不是省了拿出手机解锁的麻烦?而且录音也是自动的,整个过程需要的只是周围各种各样的声响,仅此而已。
听起来这有点像 Shazam 和 iPhone 中的音乐辨识,只不过它辨识的是不同歌曲的声音,目的是判断演奏场所。但论文合著作者 Claudio Marforio 不这么认为,他表示这两者的内在算法则截然不同。“我们起初也尝试用 Shazam 的方法,但是结果很不理想,因为两者的应用情况根本不一样。”
为了使用者隐私,Sound-Proof 并不上传声音本身,而是上传数位签名。而且,为了节省电量,它只有在接到服务器录音的命令才会开始录制声音。
论文实用性研究结果还表明,与双重认证相比,参与调查的绝大多数人都更倾向于使用声音认证方式。原因之一是,Sound-Proof 只需安装在手机上即可,电脑上不必安装任何外挂。而像 Authy 此类的公司早已发明了蓝牙传输资料的认证方式,也很简单省事。
当然 Sound-Proof 也有缺点,最最令人担忧的是,假设有人跟你在同一个房间,周围环境一样,并且很不幸的是他知道你的密码,这样他就能通过验证,登入你的账户了。也可能,有人和你看的电视或听的广播一样,这样也可能蒙骗 Sound-Proof。当然,研究人员表示,以上事件发生的可能性很小很小。
目前为止,Sound-Proof 还尚在研究阶段,但 Marforio 却很自信,“虽然想法还处于初级阶段,但我们一直致力于提高该应用系统的整体性能和登录速度,使其能更好地对比两种声音样本,进一步提高准确度。”
其实目前看来“双重认证”也挺好的,并不算特别麻烦。况且,Sound-Proof 目前还不支援在他人电脑上登入,这也很不方便,虽然这个点子确实很赞。
- The Noise Around You Could Strengthen Your Passwords
(本文由 雷锋网 授权转载)
