行为生物识别公司Callsign首席执行官兹亚·哈亚特(Zia Hayat)说:“通过手机中的加速度计和陀螺仪,我们可以衡量你的手腕力量。通过测量你的步伐,我们可以将你从人群中识别出来,准确率高达1/20000,与指纹识别的精确度大致相当。”
所以,即使欺诈者已经窃取了你的网银登录信息或下载恶意软件到你的手机上,这类行为软件应该也能够发现异常,确定并非你本人想要尝试将这些钱转移到国外银行中。科技公司认为,这些生物行为特质就像我们的声音那样独特,就像莫尔斯密码操作员可通过独特方式发送和接受信息那样。
行为生物识别公司BioCatch的首席执行官艾亚尔·戈德维格(Eyal Goldwerger)称:“认证机制很不错,但是当欺诈者已经侵入你的系统中时,它就没用了!大多数银行欺诈都是在用户进行认证之后发生的。人类与设备的交互方式显然与恶意软件的运作方式截然不同。为此,即使你的手机被感染,躺在那里静等你登陆然后进行劫持,行为生物识别方案依然能够发现其中的差异。”
哈亚特说:“如果你没有操作手机,而它却自己在运行,你可能认为是恶意软件在操控它。我们可以利用最新智能手机上的气压计测量气压,同时它也可以显示手机的位置,以及是否与用户所说的位置相吻合。”
甚至于你手指的大小(机手指覆盖住屏幕的面积)也可以帮助设置相当精确的签名信号。这很容易理解,许多银行都对这种新的安全方式产生兴趣,Callsign的客户包括来爱的银行集团和德意志银行等。此外,Behaviosec、NuData Security以及Zighra等行为生物识别公司,也都在与从事身份管理的网络安全公司合作。举例来说,Callsign的技术正与ForgeRock的身份管理平台进行整合。
ForgeRock首席执行官迈克·艾利斯(Mike Ellis)表示:“我们正迈向密码更少的世界,为此我们需要更多层次的身份验证,而行为生物验证机制就是其中之一,识别设备、其地理位置以及典型行为则是另一层。”
越来越多的银行正推出语音认证机制,将其作为更安全、更少侵入性的方式,以为客户建立自己的身份。语音生物识别机制公司Nuance的产品战略总监布雷特·博兰尼克(Brett Beranek)说:“在神经网络和机器学习的帮助下,身份验证的准确性已经从98%提高至99%。”
但即便如此,博兰尼克也承认,还需要更多层次的验证后行为安全机制,以帮助用户应对手机遭到恶意软件感染。戈德维格称,除了物理行为,比如我们打字的速度以及操作手机的方式,心理行为也可能泄露身份。比如在浏览网页时,我们会无意识地做出选择。他说:“你决定向下滚动页面的方式(包括使用鼠标滚轮或点击页面侧边栏拖动),可以表明是你在浏览网站,而不是其他人。”
BioCatch表示,当用户与他们的数字设备进行交互时,他们可以对500多个参数进行测量。利用机器学习技术,该公司称可在短短10分钟的交互中,帮助建立用户独特的行为生物特征。
但是戈德维格说,行为生物识别机制并非为了取代现有的身份认证方法,比如语音、指纹以及自拍等,而是对它们进行补充。这种安全机制的优势在于,我们所做的一切都是无缝的,不存在任何摩擦。这一切都发生在后台,而且用户毫不知情。这种软件能在98%的时间里发现可疑活动。
但是隐私呢?如果这些公司通过检测我们的在线行为就可识别出我们的身份,匿名就成了空话?寻找恐怖分子加密通信方式的方法最后会变成识别我们所有人身份的方法吗?我们真的喜欢这样的技术吗?戈德维格坚持称,BioCatch等技术不会看到任何用户的个人身份信息,客户(通常是银行)也不会看到BioCatch产生的任何匿名行为模式。他说:“所有银行看到的是该用户会话的风险评分,而我们看到的是与这个人有关的ID号码。”
Callsign的哈亚特表示,他的公司也在做同样的事情,原则上需要遵守现有资料保护 法例。但是如果欺诈者窃取某人的身份,并重新建立了新的账号会如何?如果没有用户以前的行为进行对比,行为生物识别技术能确保其肯定有效吗?
BioCatch认为,即使在这些情况下,行为分析也能提供帮助。戈德维格说:“欺诈者可能不熟悉这些数据,因为这些根本不是他们产生的。我们可以发现这其中的差异。我们可以注意到他们填写不同的申请表格,因为他们通常不会那样做。”