噪音認證技術 可確保帳密資安

張振鴻 2015/08/25 13:37 點閱 8790 次
Sound-Proof所使用的辨識噪音認證技術,可免去雙重認證的麻煩。(Photo by Taylor Cohen on flickr - used under Creative Commons)
Sound-Proof所使用的辨識噪音認證技術,可免去雙重認證的麻煩。(Photo by Taylor Cohen on flickr - used under Creative Commons)

【台灣醒報記者張振鴻綜合報導】錄下環境中的噪音,竟然也可以成為網站認證的密碼。瑞士蘇黎世聯邦理工學院(EPFL)的科學家最近發表一項名為「Sound-Proof」技術,藉由同時錄下電腦設備和手機周邊的任何聲響噪音,可以作為使用者登入網站的認證,免去輸入一長串密碼的麻煩,以及擔心木馬程式盜取帳密。

科技新聞網站《Wired》報導,目前最普遍的數位帳號保障措施以「雙重認證」最為普遍,也就是輸入帳號密碼後,伺服器會再傳一組臨時驗證碼到手機,使用者必須鍵入此驗證碼才能正式登入。這項方式雖然確保安全,但過程相當繁瑣,一旦錯過驗證碼的有效時間,又得重新再跑一次流程,許多人寧可拒絕使用。

【程式辨識噪音密碼】
EFPFL團隊所研發的Sound-Proof,是讓使用者在登入採用這項認證技術的網站時,伺服器會同時啟動電腦與手機兩端的錄音功能,將人們所身處的周遭環境噪音,例如冷氣聲、音樂聲或窗外的汽車鳴笛等聲響錄下來,並各自創建一個數位簽名上傳到伺服器中,由程式辨識電腦及手機的「噪音密碼」是否相符。

這項辨認聲音的技術,有點類似「Shazam」的音樂辨識App功能,不過Sound-Proof的研究論文共同作者馬佛利歐表示,這兩者的基本原理完全不同,「我們曾在第一個原型技術中採用Shazam的演算法,但實驗結果的辨識度不佳。」

【同處一室試圖蒙騙】
Sound-Proof在許多試驗例子中的辨識成功率相當高,而且多數實驗者都傾向於使用這項聲音認證技術,多過於目前流行的雙重認證,因為只要手機安裝專屬App即可使用,電腦無須安裝任何程式,相當便利。而且為了保護使用者隱私,Sound-Proof是將聲音轉化為數位簽名後,再上傳到伺服器進行辨識,並不保留任何原始聲音。

不過此項技術可能存在些風險,例如別人和使用者處在同一個房間,而且又知道自己的密碼時;或者是有其他人正同時觀看同樣的電視節目,以及聆聽相同的電台廣播,只要他們能控制錄下聲音的時間差,就有機會蒙騙Sound-Proof。研究團隊回應,這種針對性的攻擊和機率是微乎其微。