網路上的帳號密碼安全,永遠是資安界的課題之一。美國的大學想出一個妙招:敲擊認證(keystroke authentication),也就是偵測鍵盤敲擊習慣,判斷是否為本人所輸入的帳號密碼,當成生物辨識的一部分。
美國愛荷華州立大學(Iowa State University)的工程副教授 Morris Chang 所領導的團隊,正在研究一個新的密碼保護方式:敲擊認證(keystroke authentication),可偵測使用者的鍵盤敲擊習慣,在輸入密碼時判斷敲擊每個按鍵的時間間距,當成認證的方式之一,藉此阻止其他使用者使用你的密碼試圖登入你的帳號。在下面的示範影片中,可看到敲擊認證的示範。
▲敲擊認證對使用者一般輸入密碼的動作無異,但會自動紀錄鍵盤敲擊習慣判定是否為本人所輸入密碼。
▲敲擊認證主要是記錄敲擊時間(keystroke time)。
偵測鍵盤敲擊習慣,可視為筆跡一樣,如同每個人的筆跡不同,打鍵盤也都有各字的習慣,因此也算是生物辨識(biometrics)的方法之一,或許可當成虹膜、指紋之外下一個可成為每個人獨一無二的生物密碼。如果這項技術可以應用的話,將可大幅減低帳號帳號密碼被盜用的情形,因為你可以偷走帳號密碼,但你無法偷走生物辨識、也就是模仿他人的鍵盤敲擊習慣。
但小編認為敲擊認證的認定方式還有很大的研究空間,假設你的手因為受傷、可能因此改變鍵盤敲擊的方式,就會導致無法登入自己的帳號。另外對於不同的鍵盤類型,例如機械式鍵盤、薄膜式鍵盤到剪刀角鍵盤,因為按鍵行程、按壓力道導致時間的改變,也會出現不小的差異(如果用前幾年非全尺寸大小的小筆電鍵盤似乎會更慘)。最後是如果遭到木馬程式的盜錄,應該也能輕鬆記路按鍵敲擊的時間。
資料來源:cnet
延伸閱讀:
從 Dropbox 資料被盜事件,看使用者 10 個自保方法,強化 PC 與帳號安全
隨便舉例...PC和iPad輸入上就差太多了
現在很多網站密碼相信多數人都會讓電腦記憶起來
很少在記一堆網站的密碼的,多了會亂掉