@ 2014.06.05 , 19:24
31

零交互授权技术,不用密码也能保安全

[-]
为电脑等设备设置密码,是我们保护个人信息通常做法,不过还是没办法阻止可恶的骇客。为此,美国阿拉巴马大学的研究者们,正在开发一种简单易用,无需密码的安全登录技术-“零交互授权技术”。

由阿拉巴马大学副教授Nitesh Saxena博士牵头,联合赫尔辛基大学和阿尔托大学,这项研究最近在国际会议-Pervasive Computing and Communications and the Financial Cryptography and Data Security -上首次亮相。

使用“零交互授权技术”,无需与终端(如笔记本和汽车)产生交互,就可得到授权。通过认证系统探测用户安全令牌(如手机和车钥匙),采用如蓝牙这样的短距离,无线传输方式获取授权。这就避免了使用密码,以及因此带来的次生安全问题。

举个简单例子:安全令牌接近汽车时,免持式被动无钥门禁和启动系统可以开启车门,或者启动发动机。这项技术也可用于保护计算机登录。比如要打开锁掉的屏幕,通过BlueProximity应用,用户只需将预先连接的手机,放置到一定距离内即可。

[-]

虽然目前已有很多形式“零交互授权”方案,但却很容易受到攻击,比如”幽灵吸血鬼攻击“-一名骇客如果邻近用户,另一名骇客就可与他串通,通过技术以用户身份获得授权。

“这项研究的主要目的是,通过检测已有的’零交互授权‘系统,进而改进”,Saxena谈到:“以便让这个安全系统抵御’中继攻击‘,并且保证简单易用。”。

研究者已验证,只需两种不同的探测方式,比如通常的WIFI,GPS,蓝牙和音频,就可有效抵御‘中继攻击’。“实验证明,单个探测方式可能不足以提供有效的安全保障和可用性,”,Saxena表示,“但是,采用多种形式后,相当可靠。”。

许多智能手机,都具有采用多个探测方式的扩展功能,而这一技术将会越来越普及,Saxena提到。

“只需用APP,用户可以开锁或解锁笔记本和台式计算机,甚至是汽车。无需密码,无需担心‘中继攻击’”,阿拉巴马大学博士生,相关论文共同作者Babins Shrestha表示,“研究证明,这项技术不但可以保证可用性,安全性也相当高。”。

本文译自 phys,由译者 claudio 基于创作共用协议(BY-NC)发布。


给这篇稿打赏,让译者更有动力
支付宝打赏 [x]
您的大名: 打赏金额:

0.0
赞一个 (0)

TOTAL COMMENTS: 31+1

  1. 2429545

    不用密码如何交配

    [13] XX [5] 回复 [0]
  2. 机器码喝啤酒
    @3 years ago
    2429547

    是不是说以后就没有密码了

  3. 阿星
    @3 years ago
    2429549

    再也不用担心我的种子的安全啦

    [16] XX [1] 回复 [0]
  4. 2429551

    无线? 被人黑了就只能呵呵了么…

  5. 杰仔
    @3 years ago
    2429554

    有点像银行和一些软件的USB Key

  6. 阿布真TM恶心
    @3 years ago
    2429555

    矛和盾的战争永不停歇

  7. 江青
    @3 years ago
    2429565

    好东西,坐等普及,不普及都白搭

  8. 2429583


    看门狗吗?

  9. 2429591

    我想登陆qq,需要拿着token靠近腾讯大厦吗

    [11] XX [2] 回复 [0]
  10. 必须填么
    @3 years ago
    2429594

    手机丢了车也丢了。。。结果手机解锁还是要密码?

  11. 外星人
    @3 years ago
    2429597

    零交互就是你丢了一样东西,然后捡到你东西的人不用密码可以使用你其他的全部东西。

    [63] XX [2] 回复 [0]
  12. LUXTOS
    @3 years ago
    2429623

    图样图森破

  13. 竹林茶饮
    @3 years ago
    2429704

    强电磁干扰怎么破~?

  14. 2429718

    芝麻开门!

  15. 十一哥
    @3 years ago
    2429740

    如果需要你的指纹开锁,我会去砍你的手的…

  16. sandersyao
    @3 years ago
    2429753

    好吧 想通过授权使用我们的应用 你所在的位置我们都知道 查水表什么哒更方便了

  17. 0交互?
    @3 years ago
    2429779

    采用如蓝牙这样的短距离,无线传输方式获取授权
    还是要交互怎么就叫0交互呢。。。

  18. 2429791

    @0交互?: 交互指的应该是人主动去输入密码,拿钥匙开门这种行为,0交互可以理解为你走近就会自动开门。。等等等等

  19. 如果
    @3 years ago
    2429830

    老婆 你把握电脑钥匙藏哪了啊!

  20. Anubis
    @3 years ago
    2429842

    这项技术主要还是使用上变得方便,安全性上的提升还是有限

  21. segelnd
    @3 years ago
    2429942

    鉴于DNA不便伪造, 不如我随机选一段DNA做密码, 然后发明一个发射装置把我DNA那一段信息传达给终端, 来得到授权. 这样即使骇客偷了发射装置也没用, 他还要偷到我全部的DNA, 伪造, 然后经过一个小时的计算来判断究竟是哪一段DNA是密码. 噢, 为了防止一个小时就能得手, 我干脆随取选取自己身体的某几个部位(比如小弟弟上), 装上判断芯片, 确保这几个随机位置只有我自己知道. 然后骇客就要花更多的时间, 甚至牺牲掉自己全部小弟弟来伪造我的DNA来偷车, 最后发现我其实没有小弟弟. 骇客卒.
    不过话说在自己身体上伪造别人的DNA的技术能够实现嘛.
    好文一篇, 值得深思~

  22. segelnd
    @3 years ago
    2429954

    @sandersyao:
    不行, 只能授权终端, 然后给终端全部的权利来使用你所有的应用.
    只要终端是自己控制的, 终端里的”黑匣子里”有你经过加密的个人信息之类, 和你的token匹配后成功激活开机.
    由于你授权这个那个的终端代表你的用户信息, 因此还有app software 网站之类 索取你的个人信息的话, 就是居心不良.
    脑补一个抓谋杀犯的片段: 一个暴力犯罪和受害人搏斗时留下了一滴鲜血一根头发一滴口水. 被取证, 被警察获得DNA样本, 在档案库匹配到此人用户信息. 联网和各个终端交流后, 诚实的终端为了正义, 告诉了警察–我的主人在这里, 然后凶手被捕. 当然要怎么设定才会使终端交出个人信息, 也是一件不放心的事情. 脑补无能~

  23. 惩戒
    @3 years ago
    2429982

    不就是个nfc么,和刷公交卡饭卡一个意思

  24. 2429991

    @segelnd: dna的信息压缩和解压你妈妈才能理解。生物白痴

  25. 久吧肆妖
    @3 years ago
    2430002

    用体味来零交互

  26. 程序员表示
    @3 years ago
    2430006

    忽悠谁呢这是? 不反复输入密码,每次连接设备不还是要互相通信,真当俺们程序员就只会软件了?

  27. 2430008

    不过就是有一个令牌设备记录你的密码,然后以近距离无线传输的方式输入密码,以代替传统的手动键盘或触摸屏输入方式

    说得玄乎,其实比直接手动输入的安全性更差——1、多了丢失令牌的可能;2、当令牌向设备通过蓝牙或wifi发射密码信息时也可以被附近的骇客截获,而且此时你设备上的软硬防火墙就完全起不到作用

  28. 2430024

    首先要有钱

  29. 2430165

    @haha: 不用,随便靠近任意一个IT企业就可以了;腾讯已经抄遍全球了。

  30. sprite
    @3 years ago
    2430213

    这项技术只防范了远程骇进吧,遇到看门狗里类似的终端一样完蛋。

  31. 2432848

    不就是汽车的无钥匙进入么,不算什么吧

发表评论


24H最赞