北京時(shí)間2月14日凌晨四點(diǎn)，地球另一邊的洛杉磯舉行的 RSA 2017 大會(huì)創(chuàng)新沙盒大賽，一個(gè)叫UnifyID 的創(chuàng)業(yè)公司從十家參選公司中脫穎而出，成為全場(chǎng)“大贏家”。

這家公司號(hào)稱“能讓人們徹底不需要密碼”，好吧你是不是聽這話聽得有些膩了？雷鋒網(wǎng)編輯其實(shí)也有些聽膩了，不過當(dāng)我看完 UnifyID 的介紹，依然忍不住“雙擊666”。

先介紹一下創(chuàng)新沙盒大賽有多厲害。

RSA 創(chuàng)新沙盒大賽（Innovation Sandbox）是什么？有人稱之為“安全界的奧斯卡”，有人稱之為“安全技術(shù)創(chuàng)新和投資的風(fēng)向標(biāo)”，每屆RSA大會(huì)的創(chuàng)新沙盒活動(dòng)都是萬眾矚目的焦點(diǎn)，其中聚集了眾多創(chuàng)新公司用來對(duì)抗信息安全風(fēng)險(xiǎn)的創(chuàng)造性尖端技術(shù)。

據(jù)宅客頻道了解，每年的贏家都在獲勝后的一年內(nèi)成功獲得投資，不少公司已經(jīng)發(fā)展成為了業(yè)界領(lǐng)跑者。目睹一下 RSA 2017 RSA 創(chuàng)新沙盒大賽現(xiàn)場(chǎng)，圖片由友媒安全客贊助： 

【從PPT上看，參賽公司不少】

最終，在眾多參選公司中，一個(gè)叫UNIFY ID 的公司奪得桂冠，成為萬眾矚目的焦點(diǎn)。那么這家公司到底是做什么的呢？

【獲獎(jiǎng)的UNIFYID】 

在 UNIFY ID 的官方博客上，宅客頻道找到了其創(chuàng)始人及CEO親自撰寫的關(guān)于公司及產(chǎn)品由來的介紹，由宅客頻道演譯，為大家還原整個(gè)產(chǎn)品發(fā)展的來龍去脈： 

作者: John Whaley

UnifyID CEO & Founder

一年時(shí)間的埋頭苦干，終讓 Uify ID 走向世界，真是令人高興和自豪。UnifyID  的最終目標(biāo)是解決一個(gè)古老而根深蒂固的問題：

如何證“你”是“你”所說的“你”

（how do I know you are who you say you are？）

傳統(tǒng)的（數(shù)字）認(rèn)證方式是密碼，但是仔細(xì)一想，密碼的概念其實(shí)相當(dāng)荒謬。我們來回想一下，密碼的概念其實(shí)是這樣的：有一個(gè)秘密只有我知道，所以我告訴你這個(gè)秘密就可以證明我是我。

那么問題來了，我是否需要為每個(gè)證明自己的場(chǎng)景都準(zhǔn)備一個(gè)秘密？我可記不住這么多秘密?？商热粑以诙鄠€(gè)場(chǎng)景使用同一個(gè)秘密來證明自己，那這個(gè)秘密還是秘密嗎？這個(gè)秘密很快就變成了公開的事情。（雷鋒網(wǎng)注：暗諷大規(guī)模密碼泄露）

而且這些秘密也很容易被哄騙或者釣魚手段，套路出來。（注：暗諷盜取密碼）

如今甚至有的人還開始用“娘家姓”這種很公開的信息來證明一個(gè)人的身份（指代常見的密碼找回問題：你的母親姓什么？），這難道不荒謬至極？

不是針對(duì)誰，現(xiàn)有方案都不行

在這種情況下，有人提出用“密碼管理工具”的方式來協(xié)助人們記錄繁多的密碼。但密碼管理器工具只是個(gè)臨時(shí)解決方案，它只是幫你記錄越來越長(zhǎng)的密碼列表，卻并沒有解決本質(zhì)問題 —— 只要有人知道你的“秘密”，他就能冒充你。

所以密碼管理器就像是個(gè)溫柔陷阱，它把你的所有“秘密”匯聚到一起，然后用一個(gè)"主密碼"來鎖住它，一旦你的主密碼被釣魚、被記錄、被猜出或是任何一種形式被他人獲知，你的所有“秘密”雞飛蛋打，牽一發(fā)而動(dòng)全身！

另一種方式是用指紋一類的生物特征來識(shí)別你的身份，但顯而易見，單就指紋而言就存在兩個(gè)問題：

1）桌子、杯子、門把、方向盤……你的指紋到處都是。

2）一旦被破解，你很難改變自己的生物特征。

其他生物特征同樣存在這些問題，你的臉部特征、聲音、都很容易捕捉，而且這些方法并不會(huì)為安全性帶來任何好處。

 第三種方式是使用設(shè)備來認(rèn)證用戶身份。

【常見的銀行動(dòng)態(tài)口令】

這種方式已經(jīng)出現(xiàn)許久，有大量的廠商在“教育市場(chǎng)”，有強(qiáng)大的資金鏈在推動(dòng)這一產(chǎn)業(yè)，但它從未成為主流的認(rèn)證方式。

因?yàn)槟阈枰~外隨身攜帶一個(gè)物件，上面有個(gè)30秒或一份鐘改變一次的數(shù)字，你還必須在變換之前讀取并填入?？雌饋砟阌眠@個(gè)設(shè)備來證明你是你，可一旦你遺失了這個(gè)設(shè)備，你就沒法證明你是你了。

于是，有的廠商意識(shí)到用戶不想額外攜帶認(rèn)證設(shè)備，他們就推出了所謂的“軟令牌”，通過一個(gè)手機(jī)APP來實(shí)現(xiàn)類似的功能來替代原本的硬件設(shè)備，這樣用戶拿個(gè)手機(jī)就能替代原來的硬件設(shè)備?；蛘咄ㄟ^手機(jī)短信驗(yàn)證碼的方式來證明你是你。

但老實(shí)說，這些方式不僅用起來煩人，而且并沒有提升什么安全性。

總結(jié)一下，以上所有現(xiàn)有的認(rèn)證方式都有個(gè)共同點(diǎn)：

1）很煩人

2）并不能帶來安全性的提升

而 Unify ID 出現(xiàn)，正是為了解決這些問題。

 UnifyID 如何誕生？

幾年前我和同事庫爾特通過一個(gè) Demo , 對(duì)用戶打字時(shí)擊鍵的方式、間隔以及輸入的內(nèi)容來進(jìn)行規(guī)律分析。我們發(fā)現(xiàn)一個(gè)震驚的消息：每個(gè)人都有其獨(dú)特的打字方式。

• 有的鍵你會(huì)按得快，另一些鍵慢；

• 從一個(gè)鍵跳到另一個(gè)鍵的時(shí)間間隔也有差異；

• 每個(gè)人還有自己打得最熟練的單詞，等等。

也就是說，你在輸入一段話的功夫，我就能判斷這個(gè)人是不是你。

太神奇了！從那時(shí)起，我們就開始尋找，有沒有其他類似于鍵盤輸入規(guī)律這種“被動(dòng)特征”來用于身份鑒定。我們?cè)O(shè)想，通過這一方法，不需要對(duì)方刻意去做任何事 —— 不需要輸入密碼，也不需要掏出設(shè)備。在無感知的情況下，就能準(zhǔn)確判斷一個(gè)人的身份。

在用戶的手機(jī)、電腦、可穿戴設(shè)施中就能找到許多這樣的特征。通過信號(hào)采集和機(jī)器學(xué)習(xí)，從繁雜無規(guī)律的數(shù)據(jù)當(dāng)中提取出可用的身份特征。雖然看起來很麻煩，但是最終的結(jié)果令人震驚：一個(gè)人所有的動(dòng)作、行為、環(huán)境都有規(guī)律可循，并且獨(dú)一無二！

從本質(zhì)上來說，世界上只有一個(gè)你，你的一舉一動(dòng)都是獨(dú)一無二的，根據(jù)你周圍的傳感器就能準(zhǔn)確的判斷每個(gè)人的身份。于是 UnifyID 就這樣誕生了。

無感知認(rèn)證才是未來

我們將這種技術(shù)統(tǒng)稱為 ”無感知認(rèn)證“ 。（英文：implicit authentication，有人譯作“全隱式認(rèn)證”，不過雷鋒網(wǎng)覺得“無感知認(rèn)證”更直觀）。

其核心觀點(diǎn)是：做自己就好。因?yàn)槟愕囊磺姓５难孕信e止都可以用來證明你的身份。其他額外的東西完全多余。

這種認(rèn)證方式并不是首次提出。在遠(yuǎn)古時(shí)期，原始人類就一直在用這種方式辨別他人。那時(shí)人們通過看你的長(zhǎng)相，看你走路姿勢(shì)，看你擁有的東西，然后綜合這些因素來判斷這個(gè)人是誰。

久而久之，我們的大腦就進(jìn)化出了從這些特征中提取細(xì)微線索的能力。通過這些線索的綜合判斷，人類的大腦自然而然就能鑒定身份。那么基于這種原理，我們發(fā)現(xiàn)，通過機(jī)器學(xué)習(xí)的方法反復(fù)訓(xùn)練，也能讓機(jī)器獲得這樣的能力。

最后我們的試驗(yàn)結(jié)果堪稱神奇。

它讓安全變得無縫、自然，你就做你自己，你使用的設(shè)備和周圍的服務(wù)會(huì)根據(jù)你自然而然表現(xiàn)出來的言行舉止來識(shí)別你的身份。你不需要記憶任何密碼、也不需要從手機(jī)上查看任何驗(yàn)證碼。

你的身份不再和一臺(tái)設(shè)備相捆綁，也不需要刻意攜帶任何東西，一切順其自然。來來來，舉起雙手跟我一起吶喊： “無感知”才代表著身份認(rèn)證真正的未來。

這種技術(shù)的應(yīng)用領(lǐng)域非常寬泛，但其中有一個(gè)最關(guān)鍵的應(yīng)用領(lǐng)域：確保交易認(rèn)證和賬號(hào)安全。當(dāng)一個(gè)用戶登錄時(shí)，我們的無感知認(rèn)證系統(tǒng)可以在分析并給出用戶身份的可信度。而且Unify 可以連續(xù)進(jìn)行認(rèn)證，也就是說當(dāng)用戶發(fā)生變化時(shí)（比如換了個(gè)人）我們有能力直接注銷賬戶。

安全和用戶體驗(yàn)的平衡

安全和用戶體驗(yàn)一直是相互制衡的。長(zhǎng)久以來，許多解決方案打著安全的旗號(hào)來犧牲用戶體驗(yàn)，但我們不得不承認(rèn)，用戶體驗(yàn)和安全是不可分割的。任何一個(gè)不考慮用戶體驗(yàn)的安全解決方案，人們要么不遵守你的安全規(guī)則（比如使用簡(jiǎn)單密碼），要么想直接掀桌子，比如輸錯(cuò)N次密碼，賬號(hào)被凍結(jié)的時(shí)候。

UnifyID 在設(shè)計(jì)的時(shí)候就考慮到了用戶體驗(yàn)。事實(shí)上，它就是從用戶體驗(yàn)出發(fā)的。什么賬號(hào)密碼、安全問題？驗(yàn)證碼？這些完全是用戶體驗(yàn)殺手。而對(duì)于 Unify ID 來說，辨認(rèn)一個(gè)人的身份輕而易舉，為了增強(qiáng)其準(zhǔn)確性，指紋和面部特征等也可以成為識(shí)別特征的一部分。

最關(guān)鍵的是，由于UnifyID 是基于機(jī)器學(xué)習(xí)，也就是說，你越使用這個(gè)系統(tǒng)，機(jī)器對(duì)你就越熟悉，你用起來也就更爽更安全。

UnifyID 利用了深層神經(jīng)網(wǎng)絡(luò)、組合決策樹、貝葉斯網(wǎng)絡(luò)、信號(hào)處理、半監(jiān)督和無監(jiān)督的機(jī)器學(xué)習(xí)等等。而在這些技術(shù)的背后，是我們來自麻省理工、斯坦福、伯克利和CMU的安全專家以及世界一流的學(xué)術(shù)界和工業(yè)界顧問。

未來，我們將推動(dòng)一場(chǎng)無感知認(rèn)證革命！

宅客頻道技術(shù)分析

據(jù)宅客頻道了解，UnifyID 使用了100多個(gè)同步的因素，利用機(jī)器學(xué)習(xí)算法，自動(dòng)尋找各個(gè)特征之間的關(guān)聯(lián)來提高準(zhǔn)確性，據(jù)稱準(zhǔn)確率能高達(dá) 99.999%。

其產(chǎn)品主要是由APP和云服務(wù)組成。本地的APP從設(shè)備上手機(jī)數(shù)據(jù)加以處理，然后通過云端來進(jìn)行計(jì)算和通信。其中的數(shù)據(jù)包括：GPS、加速器、回轉(zhuǎn)儀、磁力計(jì)、氣壓計(jì)、環(huán)境光、WiFi、藍(lán)牙信號(hào)測(cè)距儀等多種傳感器。

舉個(gè)例子，當(dāng)兩個(gè)人一屁股坐下時(shí)，即使他們身高、體重、身體質(zhì)量指數(shù)均相同，UnifyID得到的加速劑和回轉(zhuǎn)儀的數(shù)據(jù)也大相徑庭。

宅客頻道猜想，難道是他倆撅屁股的程度不同？還是兩瓣屁股不一樣大？這個(gè)問題值得考究。

據(jù)其官網(wǎng)稱，僅僅使用四個(gè)可用的傳感器，其準(zhǔn)確率就已經(jīng)遠(yuǎn)遠(yuǎn)超過當(dāng)前廣泛使用的常規(guī)認(rèn)證方式。即使是在收集少量數(shù)據(jù)的情況下，也有辦法鑒定你的身份，比如步態(tài)檢測(cè)。（沒錯(cuò)，就是間諜電影里那種步態(tài)分析）

雷鋒網(wǎng)編輯覺得，如果其官方的描述屬實(shí)，也許這是我們距離消滅密碼最近的一次。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。