這就是大數據,打字習慣將暴露你的身分

首圖來源:faredelbene

網路安全研究人員已經掌握了一種長期以來只存在於理論當中的用戶身份識別技術,該技術具有很強的實用性,在遭遇網路遠端攻擊時可以讓那些使用 Tor(譯者註:洋蔥瀏覽器,一種可以匿名瀏覽網路的工具,可以為網路流量三重加密,將用戶流量在世界各地的電腦終端裡跳躍傳遞,很難追踪其來源)的用戶,以及任何想要在網上掩飾自己身份的人都無所遁形。

當網站用戶輸入用戶名、密碼以及鍵入其他訊息時,這種技術將收集用戶的敲打鍵盤的特徵。通常在經過不到10 分鐘的「學習」之後,該技術就可以識別出在網路的另一端持續進行打字輸入的人是否是同一個個體,這種由技術得出的個體識別結果有著高度的確定性。這種身份 識別技術發揮作用的關鍵在於獲得並分析了來自電腦鍵盤傳遞的信息。對於每一個人來說,在打字時其手指在按鍵之間的短暫間隔以及按下每一個按鍵的精確時間長 度都是獨一無二的,這種身份識別技術可以將用戶的打字習慣當成一種數位指紋,並用以確認身份。

如果這種識別技術在網站資料庫之中廣泛使用,那麼網站就能夠根據不同用戶的打字習慣差異進行身份識別。這種技術的發展相當令人不安, Per Thorsheim 以及 Paul Moore 這兩位研究者已經開發出了一種 Chrome 瀏覽器外掛,用以應對這種身份洩露的威脅。這種外掛可以捕捉到用戶的鍵盤輸入方式,當將這些輸入信息傳遞到網站時,該外掛可以通過一個簡單的延遲並使用偽 造的隨機輸入規律替換原有輸入方式。外掛開發者 Thorsheim 是一位網路安全專家,而 Moore 是一位資訊安全顧問,他們認為這種通過打字識別身份的技術是一種對於網路固有的匿名性的傷害,因此才想到要開發出這種保衛網路匿名性的外掛。

1438156214665-2

(image source : inside)

讓隱形人無所遁形

「如果僅僅是一家網站收集你的這些在線打字使用習慣信息,那麼你所面臨的風險可能並不大,」網路安全研究者 Runa Sandvik 曾經參與了開發 Tor 的過程,「真正的威脅來源於這種行為識別技術可能會被同一家公司或組織所擁有的多個網站使用。這種行為會傷害網路匿名性並且使得用戶面臨隱私暴露的風險, 這些網站能夠跟踪收集用戶鍵盤輸入行為,獲取用戶在網頁中的所作所為,並且將其分析結果與你在另一網頁中的操作行為進行比較,這樣就能夠識別出你的身份, 至於你在上這兩個網站時使用的是哪一種IP 地址,都不會影響其確認的結果。」

Sandvik 表示她曾經使用了升級過後的 Tor 瀏覽器登錄了一個採用了打字識別技術的測試網站,這個網站能夠通過她獨特的打字習慣刻畫出她的用戶身份。無論使用這種打字習慣識別技術是出於網站運行者自 身的心懷不軌,又或是為了與當局監管者進行配合,那些試圖對抗 Tor 這個匿名瀏覽器的諸多網站能夠使用相似的身份識別腳本跟踪來自公開網路或者隱藏了 IP 的黑站(譯者註:黑站即無法被搜尋引擎收錄內容的站點)用戶。 Tor 瀏覽器限制了這些網站中運行的大量 JavaScript, Sandvik 想使用這種方法看看是否能阻止類似網站的身份識別過程。當這些 JavaScript 不能工作時,果然身份識別技術也將被鎖定。不過雖然鎖定網站的 JavaScript 是行之有效的,但是這種方法可能仍然阻止不了身份識別技術的侵​​入,因為該技術最終會找出使用 JavaScript 之外用於衡量用戶敲擊鍵盤習慣的方法。

收集用戶獨特的鍵盤輸入特徵是一種典型的行為生物學識別的案例,這種方法就是將監測一個人的所作所為,比如通過收集個體說話、走路、打字的習慣並用 於分析。據 Thorsheim 與 Moore 介紹,到目前為止,已經有很多銀行網站都使用了鍵盤輸入特徵身份識別技術去作為登錄網站用戶的一種額外身份驗證。從理論上說,這種做法可以幫助銀行網站去 檢測到意圖劫持、盜取用戶帳戶的行為,即使冒充用戶的不法分子使用了正確的用戶名與密碼登入網站,也逃不過身份識別技術的法眼。鑑於這種行為生物學識別技 術也可能用於正當且有利於保護用戶利益的地方, Thorsheim 與 Moore 開發的這種 Chrome 瀏覽器外掛也可以將特定的網站加入白名單之中。

老實說生物行為識別並不是什麼全新領域,有據可證棱鏡門中的主角斯洛登從2007年開始就使用了類似技術,人們早就意識到了使用生物行為識別技術可 以確認出那些隱於鍵盤之後的操作者的身份。如果你在圖書館中進行相關檢索,將會發現大量的研究論文向你展示如何進行網路用戶身份識別,以及如何解決 Tor 瀏覽器帶來的匿名問題。不過話說回來,如果銀行網站和其他網站能夠使用這種技術去描繪出一個可靠又精準的用戶身份,有理由相信各國政府也會使用同樣的技術 去監視網路使用者。

「有越來越多的網站會在你匿名瀏覽時收集分析你的在網站上的鍵盤輸入特徵作為身份識別的參考,當你在使用其他網站時他們就可以使用相同技術將你識別 出來。」Thorsheim 在他的一篇博文中寫道,「你喜愛那些政府機構不僅會建立自己的官網,還會在黑站之中設置假頁面,用以識別那些在兩個網路之中穿行的人們的身份。對於威權政 府來說,這種做法將帶來極大的收益。」

1438156451308.png(image source : inside)

 

 

文章來源:arstechnica,TECH2IPO/創見 陳錚編譯,議文創見首發,轉載請註明出處。

文章內容屬作者個人觀點,不代表本站立場

大數聚

透過數據,我們聚集各領域的專家,檢視時下重要議題及產業趨勢。當我們聚在一起,用數據說話,說出有意義、有價值的新觀點。歡迎加入我們,一起用數據看世界。