在現代社會中「密碼」扮演著令人又愛又恨的角色,它幾乎保護了我們生活中的每個層面,包括電腦、電子郵件、銀行帳戶,還有無數的實體設備或網路帳戶;然而,它們既難記又不是絕對安全,因此Google打算廢了它。
上個月的Google I/O開發者大會上,他們宣布了一項新消息,將可能終結傳統密碼的時代。Google的先進科技與計劃(ATAP)部門主管丹尼爾‧考夫曼(Daniel Kaufman)在大會上提到,他們將推出一款名為「Trust API」的新型混合認證系統,以保護及加強Android應用程序的安全性。
有別於傳統密碼,「Trust API」將運用生物識別技術,例如明顯的人臉識別或語音辨識;以及一些不太明顯的方式,例如打字與瀏覽習慣,甚至是使用者走路的方式,用多重資訊來判斷使用者的身分。Google認為,單一辨識方式容易被找出破解方法,比如就有人用乳膠塑模來破解指紋辨識;而多種辨識方式則能夠增加複雜性,使破解難度大幅提高,比單一辨識方式安全十倍以上。
該服務將會在Android手機後台運作,並利用電話的感應裝置不斷監測使用者行為。每項指標將產生全面的「信任分數」來讓使用者解鎖,若信任分數低於門檻時,使用者會被要求進行其他形式的額外認證。
這個想法類似於我們熟知的智能鎖(Smart Lock)系統,它已經運用在某些Android手機裡。智能鎖透過檢測功能讓使用者解鎖手機,例如是否在受信任位置或臉部識別;但智能鎖並非在後台運作,也無法個別管理應用程序的存取方式。「Trust API」則改善了這些問題,更嚴格地控制手機安全。它將依照個別應用程序的重要性,設定不同的身份驗證層級和感應靈敏程度:使用者可以快速方便地進行遊戲,但開啟銀行或其它重要的應用程序前,又需要更嚴格的身份認證。
近年來,各種設計用來取代傳統密碼的新奇產品或功能,雖然大多看似大有前途,但它們很少有真正地被廣泛使用。「Trust API」是否能取代傳統密碼很快就會有答案,考夫曼表示該技術已經和數間大型金融機構配合,將於本月(2016年6月)進行測試。他也承諾如果安全性和使用者體驗都能順利過關,這項技術將會在今年年底前推出並提供給每個開發商,屆時就不再需要記住惱人的密碼了。
圖片出處