Geek
零交互授权技术,不用密码也能保安全
[-]
为电脑等设备设置密码,是我们保护个人信息通常做法,不过还是没办法阻止可恶的骇客。为此,美国阿拉巴马大学的研究者们,正在开发一种简单易用,无需密码的安全登录技术-“零交互授权技术”。
由阿拉巴马大学副教授Nitesh Saxena博士牵头,联合赫尔辛基大学和阿尔托大学,这项研究最近在国际会议-Pervasive Computing and Communications and the Financial Cryptography and Data Security -上首次亮相。
使用“零交互授权技术”,无需与终端(如笔记本和汽车)产生交互,就可得到授权。通过认证系统探测用户安全令牌(如手机和车钥匙),采用如蓝牙这样的短距离,无线传输方式获取授权。这就避免了使用密码,以及因此带来的次生安全问题。
举个简单例子:安全令牌接近汽车时,免持式被动无钥门禁和启动系统可以开启车门,或者启动发动机。这项技术也可用于保护计算机登录。比如要打开锁掉的屏幕,通过BlueProximity应用,用户只需将预先连接的手机,放置到一定距离内即可。
[-]
虽然目前已有很多形式“零交互授权”方案,但却很容易受到攻击,比如”幽灵吸血鬼攻击“-一名骇客如果邻近用户,另一名骇客就可与他串通,通过技术以用户身份获得授权。
“这项研究的主要目的是,通过检测已有的’零交互授权‘系统,进而改进”,Saxena谈到:“以便让这个安全系统抵御’中继攻击‘,并且保证简单易用。”。
研究者已验证,只需两种不同的探测方式,比如通常的WIFI,GPS,蓝牙和音频,就可有效抵御‘中继攻击’。“实验证明,单个探测方式可能不足以提供有效的安全保障和可用性,”,Saxena表示,“但是,采用多种形式后,相当可靠。”。
许多智能手机,都具有采用多个探测方式的扩展功能,而这一技术将会越来越普及,Saxena提到。
“只需用APP,用户可以开锁或解锁笔记本和台式计算机,甚至是汽车。无需密码,无需担心‘中继攻击’”,阿拉巴马大学博士生,相关论文共同作者Babins Shrestha表示,“研究证明,这项技术不但可以保证可用性,安全性也相当高。”。
