典型的多因素类别集如下:
我认为还有第四类——你表现出的一些行为(或者“你做的事情”,简单地说)。这可能是您的步态(行走姿势)、您的笔迹或您在键盘上打字的方式。产生这些行为的通常是你的身体形态(例如肌肉组织)的延伸,但它们也受到心理的影响,并且通常不像指纹这样的物理属性那么固定。
我对如何将行为分析用作第四个身份验证因素感兴趣。我以前曾研究过击键动态,使用字母对时间(例如按下“q”和“u”之间的平均时间)和各种其他指标作为验证一个人的方式。我的结果相当不错;我创建的个人资料对我进行了身份验证,并拒绝了其他几个试图获得访问权限的人的访问权限,尽管我的测试并不是特别科学或彻底。
但是,我不确定这些指标在更大范围内的安全性。是否有任何经过验证的具有已知安全余量和缺陷的机制?有没有比其他指标更有效的特定指标?是否对这种类型的身份验证因素进行了广泛的研究?我当然有兴趣看到关于此事的任何易于理解的论文。
AviD 在评论中发布的第二个链接显示了它的概念:
|User's machine|--|Events Acquisition|--|Feature Extraction|--|Classifier|--|Auth. DB|
为了完成这项工作,需要考虑几件事:
与键盘/鼠标相比,平板电脑、手机和其他移动设备将具有非常不同的用户动态。任何旨在与凭据身份验证一起使用的此类系统都需要考虑到这一点。(链接的论文甚至在结尾部分指出,仅小鼠的各种配置就会带来困难。)
需要以某种方式保护动态身份验证通道。这对 MITM 来说不一定是微不足道的,但这当然不是不可能的。
正如其他人所发布的那样,任何此类形式的“认知足迹”身份验证只能用作对其他身份验证形式的支持。它不能与一个人拥有的东西或一个人知道的东西同等重要。否则,您将面临将生病/情绪激动/疲倦的用户拒之门外的风险。(通常适用于军事应用,但对于一般公众使用,这是一个糟糕的商业决策。)
实际上, Bruce Schneier 在今年年初就发布了这个消息。那里的评论中有一些很好的讨论,尽管没有确定的。
TL;DR:行为分析目前不能与 MFA 中的其他因素同等重视。作为支持因素的使用与生物识别的程度大致相同。
行为动力学与安全性签名分析/伪造大致相当。也就是说,随便的攻击者不太可能成功冒充您,但正如您所说,这不是您的身份,而是您所做的事情。这是习惯而不是特征。
当然,行为倾向是非常本能的,很难随意改变,但只要有足够的练习,几乎任何行为都可以习得。就像书面签名的安全性是基于没有人会充分练习伪造您的签名的假设一样,任何其他行为指纹识别的安全性都是基于没有人会训练自己模仿您的行为的假设。
因此,对于临时安全来说可能是可以的,但任何可能发生实际协同攻击的高价值;这有点不确定。有些行为可能比其他行为更难模仿,但最终你永远无法证明这样一个系统的安全性,你对这样一个系统的信心应该相应地保留。
可能是,但我个人还没有看到任何数据支持它。我的直觉是它可能是一个有用的附加因素,但我不会将它用作身份验证的主要因素。与大多数生物识别技术一样,您需要了解如何定义、设置和计算交叉阈值(误报和误报收敛的地方)。这是一个