轉載 | 零登陸：無口令身份認證的興起

時間 2019-11-08

標籤轉載登陸口令身份認證興起简体版

原文原文鏈接

基於用戶行爲的身份驗證新技術終將宣告口令退出歷史舞臺嗎？html

![img](http://www.aqniu.com/wp-content/uploads/2018/05/gettyimages-692915427.jpg)git

FIDO聯盟（線上快速身份驗證聯盟）和萬維網聯盟(W3C)最近公佈了一個新的技術標準，可讓用戶用安全密鑰或智能手機之類的外部驗證因子免口令登陸網站，這是口令消除漸進過程當中的一塊重大里程碑。口令不只用戶體驗糟糕，安全性更是飽受詬病。若設備智能到可即時識別用戶身份，基於可信信息而不是口令提供一種個性化的安全體驗，會有什麼樣的效果呢？該名爲「零登陸」的新技術可能將永絕口令後患。github

咱們大多數人都用過指紋或人臉識別來解鎖智能手機，但很快，可能連這一步都不須要了。用戶的行爲，好比劃過屏幕或輸入字符的方式、位置狀況、常規工做時段等等，都是特定於用戶個體的。新技術就是基於這些因素進行用戶身份識別，讓用戶什麼都不用作就能登陸全部應用。安全

想要騙過零登陸技術，身份竊賊們可能須要花費幾個月時間並投入數千美圓的設備。於是，零登陸技術基本上意味着身份竊賊的失業。不過，仍是有一些負面的東西須要新的規則和標準來監管，保護用戶的邊界、信息與隱私。好比：app

用戶如何知曉本身何時是被監視着的？
用戶怎麼知道本身何時登出了？
這些行爲數據的受保護狀況如何？

身份驗證的將來

零登陸或許聽起來還有些科幻小說的將來感，但其實其理念已經投入實踐。一些銀行能夠識別出用戶用新手機登陸或用從未到過的咖啡店的WiFi鏈接網銀的狀況。一旦檢測到這種「異常」，銀行會要求用戶驗證郵箱或手機號，證實是本人在操做。工具

包括亞馬遜在內的一些大型零售公司也在嘗試基於用戶行爲進行身份驗證。點擊屏幕的力度、輸入的速度等等因人而異，攻擊者難以猜想或複製。手機中的運動傳感器還能從行走模式「認出」用戶——每一個人的步態都是惟一的，別人模仿不來。綜合全部這些信息，手機不須要口令也能分析出如今拿着它的人是否是本身真正的主人。網站

其餘設備的信號也能夠被手機檢測到，好比本身的座駕、健身傳感器、耳機等等，可以以此爲基礎構建出用戶的常規行爲模式。這些生活習慣提供了證實一切如常的另外一層保障。加密

以上行爲識別技術單拎出來可能還好破解或繞過，但騙過所有？這技術難度未免太大。多種技術綜合在一塊兒還能識別出手機當前是否未經主人贊成就在解鎖模式下被別人拿走，而後當即鎖定或乾脆徹底關機。口令可作不到這一點。code

上下文很重要

用手機從信用卡上劃1美圓下單買個泰迪熊送到家這種事，是攻擊者會作的嗎？不太可能。今天不少應用即使欺詐交易可能性極低的狀況都會要求用戶提供口令。在線商城不肯意損失銷量，而不少人會在面對口令輸入框的時候再考慮一下要不要買。cdn

零登陸技術不只關注用戶身份，還注意用戶試圖去作的事。它們擅長分析哪些事情是普通人會作的，而哪些事情又是攻擊者會幹的。口令依然存在，但用戶可能不再會被要求輸入了——由於手機已經識別了用戶。完美的零登陸世界中，只有攻擊者纔會被要求輸入口令。

負面因素

若是手機時刻在收集關於用戶的一切信息，怎麼保護這些信息？這些信息發往何方？目前，大多數時候這些信息都是閒置狀態，並不會被用到。零登陸技術須要用到這些信息，但怎麼使用是個問題。比較好的用法是在手機上運行軟件收集處理，只往雲端發送「風險評分」，讓雲端的軟件作出智能身份驗證決斷。很差的用法就是把關於用戶的全部信息——行爲、生物特徵、位置信息等等，都經過互聯網發送並存儲在雲端。即使信息是加密的，其被攻擊者浸染的風險依然存在。因此，爲何每次換新iPhone都得重置一下指紋？由於用戶的指紋是本地存儲在手機裏的，歷來不經過互聯網發到雲端存儲。

若是沒有顯式的登陸過程就登入了服務，其間的隱私問題怎麼算？雖然幾乎沒人會幻想互聯網上還存在徹底的隱私，咱們依然但願能保留一部分的隱私，我的生活至少不要所有毫無隱藏。在被動身份驗證模式下，咱們能夠輕鬆登陸全部帳戶，隨時隨地，毫無阻礙，甚至意識不到登陸過程的存在。

咱們也須要能明確終止某在線會話的途徑。有些人用Uber之類公司的服務是出於我的緣由，有些人則是職業須要。若是我就是名出租司機，那僱主在工做時間追蹤個人位置毫無問題。但下班以後我可能就須要知道本身已經登出服務，能夠自由地攬點兒私活了。

或許有朝一日，這個須要記住幾十個複雜口令的時代，會讓後人詫異。他們或許會想：動動手指就行的事兒，到底哪一個腦子不開竅的搞出這種費腦子記口令的方法啊？然而，就算將來的無形身份驗證更便捷，也不能讓它凌駕於人類的隱私、安全與授意之上。這些工具應從一開始就按正確的方式構建。

什麼是 Authing？

Authing 提供專業的身份認證和受權服務。
咱們爲開發者和企業提供用以保證應用程序安全所需的認證模塊，這讓開發人員無需成爲安全專家。
你能夠將任意平臺的應用接入到 Authing（不管是新開發的應用仍是老應用均可以），同時你還能夠自定義應用程序的登陸方式（如：郵箱/密碼、短信/驗證碼、掃碼登陸等）。
你能夠根據你使用的技術，來選擇咱們的 SDK 或調用相關 API 來接入你的應用。當用戶發起受權請求時，Authing 會幫助你認證他們的身份和返回必要的用戶信息到你的應用中。