转载 | 零登陆：无口令身份认证的兴起

基于用户行为的身份验证新技术终将宣告口令退出历史舞台吗？


FIDO联盟（线上快速身份验证联盟）和万维网联盟(W3C)最近公布了一个新的技术标准，可让用户用安全密钥或智能手机之类的外部验证因子免口令登陆网站，这是口令消除渐进过程当中的一块重大里程碑。口令不只用户体验糟糕，安全性更是饱受诟病。若设备智能到可即时识别用户身份，基于可信信息而不是口令提供一种个性化的安全体验，会有什么样的效果呢？该名为“零登陆”的新技术可能将永绝口令后患。

咱们大多数人都用过指纹或人脸识别来解锁智能手机，但很快，可能连这一步都不须要了。用户的行为，好比划过屏幕或输入字符的方式、位置状况、常规工做时段等等，都是特定于用户个体的。新技术就是基于这些因素进行用户身份识别，让用户什么都不用作就能登陆全部应用。

想要骗过零登陆技术，身份窃贼们可能须要花费几个月时间并投入数千美圆的设备。于是，零登陆技术基本上意味着身份窃贼的失业。不过，仍是有一些负面的东西须要新的规则和标准来监管，保护用户的边界、信息与隐私。好比：

• 用户如何知晓本身何时是被监视着的？
• 用户怎么知道本身何时登出了？
• 这些行为数据的受保护状况如何？

身份验证的将来

零登陆或许听起来还有些科幻小说的将来感，但其实其理念已经投入实践。一些银行能够识别出用户用新手机登陆或用从未到过的咖啡店的WiFi链接网银的状况。一旦检测到这种“异常”，银行会要求用户验证邮箱或手机号，证实是本人在操做。

包括亚马逊在内的一些大型零售公司也在尝试基于用户行为进行身份验证。点击屏幕的力度、输入的速度等等因人而异，攻击者难以猜想或复制。手机中的运动传感器还能从行走模式“认出”用户——每一个人的步态都是惟一的，别人模仿不来。综合全部这些信息，手机不须要口令也能分析出如今拿着它的人是否是本身真正的主人。

其余设备的信号也能够被手机检测到，好比本身的座驾、健身传感器、耳机等等，可以以此为基础构建出用户的常规行为模式。这些生活习惯提供了证实一切如常的另外一层保障。

以上行为识别技术单拎出来可能还好破解或绕过，但骗过所有？这技术难度未免太大。多种技术综合在一块儿还能识别出手机当前是否未经主人赞成就在解锁模式下被别人拿走，而后当即锁定或干脆彻底关机。口令可作不到这一点。

上下文很重要

用手机从信用卡上划1美圆下单买个泰迪熊送到家这种事，是攻击者会作的吗？不太可能。今天不少应用即使欺诈交易可能性极低的状况都会要求用户提供口令。在线商城不肯意损失销量，而不少人会在面对口令输入框的时候再考虑一下要不要买。

零登陆技术不只关注用户身份，还注意用户试图去作的事。它们擅长分析哪些事情是普通人会作的，而哪些事情又是攻击者会干的。口令依然存在，但用户可能不再会被要求输入了——由于手机已经识别了用户。完美的零登陆世界中，只有攻击者才会被要求输入口令。

负面因素

若是手机时刻在收集关于用户的一切信息，怎么保护这些信息？这些信息发往何方？目前，大多数时候这些信息都是闲置状态，并不会被用到。零登陆技术须要用到这些信息，但怎么使用是个问题。比较好的用法是在手机上运行软件收集处理，只往云端发送“风险评分”，让云端的软件作出智能身份验证决断。很差的用法就是把关于用户的全部信息——行为、生物特征、位置信息等等，都经过互联网发送并存储在云端。即使信息是加密的，其被攻击者浸染的风险依然存在。因此，为何每次换新iPhone都得重置一下指纹？由于用户的指纹是本地存储在手机里的，历来不经过互联网发到云端存储。

若是没有显式的登陆过程就登入了服务，其间的隐私问题怎么算？虽然几乎没人会幻想互联网上还存在彻底的隐私，咱们依然但愿能保留一部分的隐私，我的生活至少不要所有毫无隐藏。在被动身份验证模式下，咱们能够轻松登陆全部帐户，随时随地，毫无阻碍，甚至意识不到登陆过程的存在。

咱们也须要能明确终止某在线会话的途径。有些人用Uber之类公司的服务是出于我的缘由，有些人则是职业须要。若是我就是名出租司机，那雇主在工做时间追踪个人位置毫无问题。但下班以后我可能就须要知道本身已经登出服务，能够自由地揽点儿私活了。

或许有朝一日，这个须要记住几十个复杂口令的时代，会让后人诧异。他们或许会想：动动手指就行的事儿，到底哪一个脑子不开窍的搞出这种费脑子记口令的方法啊？然而，就算将来的无形身份验证更便捷，也不能让它凌驾于人类的隐私、安全与授意之上。这些工具应从一开始就按正确的方式构建。

相关阅读

• Authing 是什么以及为何须要 Authing
• 咱们为何坚持作 ToB 的慢生意
• Authing 知识库

原文连接： https://www.aqniu.com/tools-tech/33791.html 做者：nana 星期四, 五月 10, 2018

什么是 Authing？

Authing 提供专业的身份认证和受权服务。
咱们为开发者和企业提供用以保证应用程序安全所需的认证模块，这让开发人员无需成为安全专家。
你能够将任意平台的应用接入到 Authing（不管是新开发的应用仍是老应用均可以），同时你还能够自定义应用程序的登陆方式（如：邮箱/密码、短信/验证码、扫码登陆等）。
你能够根据你使用的技术，来选择咱们的 SDK 或调用相关 API 来接入你的应用。当用户发起受权请求时，Authing 会帮助你认证他们的身份和返回必要的用户信息到你的应用中。

Authing 在应用交互中的位置

• 官网：http://authing.cn
• 小登陆：https://wxapp.authing.cn/#/
• 仓库： 欢迎 Star，欢迎 PR
  • https://gitee.com/Authi_ng
  • https://github.com/authing
• Demo：
  • https://sample.authing.cn
  • https://github.com/Authing/qrcode-sample
• 文档：https://docs.authing.cn/authing/

欢迎关注 Authing 技术专栏