Google欲殺密碼 下月測試多重感應 稱「更勝指紋認證」
現代都巿人開設多個網上帳戶,隨時要牢記數十組用戶名稱及密碼,可謂相當麻煩。科技巨企Google公布,準備測試全新認證方法,最終目標是用家毋須輸入密碼,改以智能裝置上的感應器擷取多組生物特徵,辨認是否裝置或服務的「真主人」。Google形容倘若成事,認證結果比只用指紋認證安全逾10倍。
大型金融機構率先測試
Google旗下的「先進科技計劃團隊」(Advanced Technology and Projects group,ATAP)主管考夫曼(Daniel Kaufman)在該公司的年度開發者大會(I/O conference)上介紹名為Trust API的認證系統,並指出將於下月在「數家大型金融機構」測試。
鑑別臉部人聲手勢
據Google透露,Trust API的運作原理為混合使用多項過往公認「較弱」的認證指標,而非單獨一種「超強」驗證方式,取代沿用多年的密碼認證概念。
Trust API可以感應多個較易提供的生物特徵,例如臉部識別、人聲鑑別,亦將嘗試向較「高難度」的指標進發——移動習慣、打字習慣、觸控屏幕的「手勢」等。用家使用智能裝置時,Trust API將於背景持續運作,不斷接收以上行為指標以作分析。
事實上按過往經驗,單單以的上述任何一種認證方式絕不安全,就連臉部識別亦不例外。不過據Google介紹,集合各種「較弱」認證方式的結果,可以較指紋認證安全超過10倍。
今次Google開發的Trust API系統,與密碼等傳統保安措施的概念有很大分別。使用者輸入密碼只有對與錯,結果直接決定是否可以使用裝置或服務。不過Trust API的認證結果不是「對與錯」,而是得出一個「分數」,並可按個別服務所需的安全程度,調整「及格分數」。例如銀行系統等重要服務平台,可要求用家提供更多生物特徵,甚至要配合傳統密碼方式,方會「放人」進入系統。
Trust API服務將開放予第三方測試,容許其他機構的保安系統使用。初期首先供使用Android智能裝置的銀行客戶作測試,Google稱其他保安系統開發者將可於今年底陸續參與。
正在研發同類保安技術的科技公司並非只得Google,總部設於倫敦的Nok Nok Labs亦有相似的建議,設立一個「信任網絡」(network of trust)。
認證管理公司Gigya的銷售總監拉克(Richard Lack)分析:「將來認證不再需要密碼,方便消費者之餘,也可提升保安水平。」他認為Google的方向將有可觀回報,指出歐洲互聯網使用者平均設立約100組密碼,感到相當困擾。拉克又稱網上帳戶登記過程變成極差的體驗。
「生物認證是強大的工具,不但更安全,也可促進生意登記用戶數字、蒐集數據、分析用家習慣。」拉克又形容,密碼的「喪鐘」將比預期更早響起。
(衛報/Mashable)