網絡科技便利生活,但同時使不法分子更容易在熒幕後盜用身份和入侵戶口,使他人蒙受損失。有些網上企業,或需要使用者進行多重認證,除了密碼,生物認證如指紋和面容識別等,亦愈趨流行。然而,「張良計」下總有「過牆梯」,為了克服這些缺點,下一級的安全識別或可利用他人難以複製的特徵來區分,例如人們走路的方式。
許多網絡安全服務已使用稱為「設備指紋識別」的系統,這不是指收集用戶的指紋,而是掌握用戶常用設備的「指紋」。透過軟件來記錄用戶使用的電子產品型號、硬件配置、操作系統、已下載的應用程式及其他功能,包括經常連接的 Wi-Fi 網絡和插入的耳機等設備。這猶如掌握了設備的「指紋」。
當掌握了使用者電子產品一系列的特徵和配置習慣,如發現異常情況,比如銀行檢測到來自與客戶通常配置不同的電話登入帳戶,便可以採取適當的措施。例如,可以提出額外的安全問題及通知客戶異常情況。
據「經濟學人」報道,美國分析公司 LexisNexis Risk Solutions,以這種方式為銀行和其他客戶記錄了超過 40 億部手機、平板電腦和其他電子裝置。其中大約 7% 被用於某類型的不誠實用途。
可是,「設備指紋識別」變得愈來愈難應用。Apple、Google 和其他設備和操作系統製造商一直在穩步限制可遠程觀察個人信息的範圍,減低個人信息落入未授權人士手中的風險。但這種限制也令區分真假用戶更加困難。
這種情況下,「行為生物識別技術」就有了登台領風騷的機會。它利用現今設備進行大量測量,包括來自加速度計和陀螺儀傳感器的數據。這些數據揭示了人們在使用手機時如何握住、攜帶手機以及行路方式;又可以監控觸屏、鍵盤和鼠標,以顯示某人的手指和手部移動的獨特方式。傳感器可以檢測手機是否放置在諸如桌子的硬表面,或者輕輕地放在諸如床之類的柔軟表面。然後使用這些特徵,來確定嘗試進行交易的人是否該設備的慣常用戶。
行為生物識別技術可以識別個人的「獨特運動指紋」。矽谷公司 UnifyID 負責人 John Whaley 表示,該公司正涉足這領域。來自手機傳感器的數據,配合適當的軟件,可以顯示細微的動作信息,細如走路時腳部哪一部份先接觸地面,以至觸地的力度、步伐長度、每分鐘的步幅數、步行者臀部和步伐的振盪幅度。它還可以確定手機到底是放在手提包、口袋還是拿在手中。
使用這些變量,UnifyID 將步態分類為大約 50,000 種不同類型。Whaley 稱,當配合與用戶在觸屏上的手指壓力和速度,以及設備的常規使用地點,用戶的身份一目了然。UnifyID 透露,他們甚至正在和一間汽車公司開發一種系統,一旦通過手機測量辨認到司機的步態,就可以解鎖車門。
UnifyID 於 2017 年開始向一些零售銀行、網上零售商、送貨公司和乘車共享公司,提供行為生物識別技術。Whaley 承認,假以時日,廣告商將會為這種個人活動信息付鈔,雖然他的公司還未有計劃向這方面擴展。
行為生物識別技術不僅可以驗證用戶的身份。它還可以檢測可能的詐騙情況。華沙公司 Nethone 現為網購公司製訂行為生物識別技術,其產品負責人 Aleksander Kijek 表示,如果在帶有鍵盤的電腦上,打字卻一斷斷續續,按鍵之間時隔較正常長,可推斷該設備或遭入侵並被遠端控制。
然而,在觸屏鍵盤上,情況正好相反。大多數人是用拇指在觸屏上打字,因此按鍵之間的飛行時間更長。在這種情況,鍵速太快顯示設備有可能是遭遠端裝置以鍵盤輸入。
善用「行為生物識別技術」可提升網絡安全,但無可否認這些技術愈來愈具「侵入性」,個人的行為模式無所遁形。這看來很「黑鏡」,在發展科技的同時,也必須與道德和法律監督並進。
