2017年RSA大会的创新沙盒在选出的十家短名单的基础上,经过激烈的演讲问答环节,选出了最后的获胜者 UNIFYID。下面一起看看他们的创新点,有哪些可以学习借鉴的。
身份认证不能说是新领域。我们基本上每天都需要认证登录。也经常有用户密码泄露,盗用身份的安全事件。在这种传统技术领域,结合新技术一样绽放无限光芒。
首先它利用现在越来越丰富的各种传感器获取用户的数据。比如,手机里的陀螺仪,加速器,GPS,周围光感应,WIFI,蓝牙等等,对pc可以包括击键间隔,鼠标的移动和滚轮的滚动,触摸板的移动,周边WIFI,蓝牙等等。
总共号称有一百种维度。基于这些数据上传云端并使用学习算法,对用户的行为进行学习。再消除噪音数据,包括因运动状态,环境等导致的差异。下面就是两个身高体重相似的人坐下动作产生的加速器和陀螺仪的数据。差别还是比较明显。
技术上基于这样的假设,一个人的行为上是有相似性,而不用人的行为上是有差异的。UNIFYID使用了深度神经网络,决策树,贝叶斯网络,信号处理,半监督机器学习算法和无监督机器学习算法等相关技术。按UNIFYID的数据,他们能做到5个9的识别正确率。基于此,他们提出了隐式认证的概念。
设想一下,一个用户日常使用一个软件,系统再不用敲用户名密码,不用设置密码问题和答案,直接使用即可。其他人一用,认证程序监控到行为数据不对,立刻登出。
我们通常为了安全增加了很多过程,比如要设置密码,怕密码忘记设置密码问题和答案。为了安全使用硬件key,或者手机短信确认。而忘记带硬件或者密码,就需要尴尬的面对,怎么证明你是你的哲学问题。指纹之类的问题在于不经意间到处留下了指纹。而且万一被伪造了,你还不好改。
这既安全又易用的技术的确非常吸引人。而所有应用大都涉及认证,也有足够巨大的市场想象空间。虽然这个产品还没有正式上市,更没有其他有些候选产品傲人的收入,仍然打动了评委的心。
值得我们学习的重要的一点是不惮于在各种技术领域创新。积极在传统领域应用新的技术,比如UNIFYID就在传统的认证授权领域应用了机器学习算法,SaaS,云计算等等。为了安全要思考如何提供更易用的解决方案。我们既要安全也要易用。安全功能和方案,应该让用户使用安全能力的同时更省事,而不是增加了用户的使用,运维负担。
不过这类产品面对的挑战也不小。大型互联网企业通常不愿意在认证这种关键技术上受制于人。而各种应用千差万别,迁移成本也不小。最好能和平台型厂商合作推出平台型的认证组件。就像这届大会的主题,合作更有机遇。
百度定义:身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880