网络安全研究人员已经把握了一种长期以来只存在于理论傍边的用户身份辨认技能,该技能具有很强的实用性,在遭遇网络长途攻击时可以让那些运用 Tor(译者注:洋葱阅读器,一种可以匿名阅读网络的工具,可以为网络流量三重加密,将用户流量在世界各地的电脑终端里跳动传递,很难追寻其来历)的用户以及任何想要在网上粉饰自个身份的人都无所遁形。
当网站用户输入用户名、暗码以及键入别的信息时,这种技能将搜集用户的击键特征。通常在经过不到 10 分钟的「学习」以后,该技能就可以辨认出在网络的另一端继续进行打字输入的人是不是是同一个个别,这种由技能得出的个别辨认成果有着高度确实定性。这种身份辨认技能发挥作用的关键在于取得并剖析了来自计算机键盘传递的信息。关于每一个人来说,在打字时其手指在按键之间的时刻短距离以及按下每一个按键的准确时刻长度都是绝无仅有的,这种身份辨认技能可以将用户的打字习气当成一种数字指纹,并用以承认身份。
假如这种辨认技能在网站数据库当中广泛运用,那么网站就可以根据不一样用户的打字习气区别进行身份辨认。这种技能的开展令人不安,Per Thorsheim 以及 Paul Moore 这两位研究者已经开宣布了一种 Chrome 阅读器插件,用以应对这种身份走漏的要挟。这种插件可以捕捉到用户的键盘输入办法,当将这些输入信息传递到网站时,该插件可以经过一个简略的延迟并运用假造的随机输入规律替换原有输入办法。插件开发者 Thorsheim 是一位网络安全专家,而 Moore 是一位信息安全参谋,他们认为这种经过打字辨认身份的技能是一种关于网络固有的匿名性的损伤,因此才想到要开宣布这种捍卫网络匿名性的插件。
让隐形人无所遁形
「假如仅仅是一家网站搜集你的这些在线打字运用习气信息,那么你所面对的危险也许并不大,」网络安全研究者 Runa Sandvik 从前参加了开发 Tor 的进程,「真实的要挟来历于这种行动辨认技能也许会被同一家公司或安排所具有的多个网站运用。这种行动会损伤网络匿名性而且使得用户面对隐私露出的危险,这些网站可以盯梢搜集用户键盘输入行动,获取用户在页面中的所作所为,而且将其剖析成果与你在另一页面中的操作行动进行对比,这么就可以辨认出你的身份,至于你在上这两个网站时运用的是哪一种 IP 地址,都不会影响其承认的成果。」
Sandvik 表明她从前运用了升级往后的 Tor 阅读器访问了一个采用了打字辨认技能的测试网站,这个网站可以经过她共同的打字习气刻画出她的用户身份。不管运用这种打字习气辨认技能是出于网站运行者本身的心怀不轨,又或是为了与当局监管者进行合作,那些企图对立 Tor 这个匿名阅读器的许多网站可以运用相似的身份辨认脚本盯梢来自揭露网络或者躲藏了 IP 的暗网(译者注:暗网即无法被搜索引擎收录内容的站点)用户。Tor 阅读器限制了这些网站中运行的很多 Java 脚本,Sandvik 想运用这种办法看看是不是能阻挠相似网站的身份辨认进程。当这些 Java 脚本不能作业时,公然身份辨认技能也将被确定。不过尽管确定网站的 Java 脚本是卓有成效的,可是这种办法也许仍然阻挠不了身份辨认技能的侵入,由于该技能最终会找出运用 Java 脚本以外用于衡量用户敲击键盘习气的办法。
搜集用户共同的击键特征是一种典型的行动生物学辨认的事例,这种办法就是将监测一个人的所作所为,比如经过搜集个别说话、走路、打字的习气并用于剖析。据 Thorsheim 与 Moore 介绍,到目前为止,已经有很多银行网站都运用了击键特征身份辨认技能去作为登录网站用户的一种额定身份验证。从理论上说,这种做法可以协助银行网站去检测到目的绑架、盗取用户账户的行动,即便假充用户的不法分子运用了准确的用户名与暗码登入网站,也逃不过身份辨认技能的高眼。鉴于这种行动生物学辨认技能也也许用于合理且有利于维护用户利益的当地,Thorsheim 与 Moore 开发的这种 Chrome 阅读器插件也可以将特定的网站参加白名单当中。
老实说生物行动辨认并不是什么全新领域,有据可证棱镜门中的主角斯洛登从 2007 年开端就运用了相似技能,大家早就认识到了运用生物行动辨认技能可以承认出那些隐于键盘以后的操作者的身份。假如你在图书馆中进行有关检索,将会发现海量的研究论文向你展现了如何进行网络用户身份辨认,以及如何处理 Tor 阅读器带来的匿名问题。不过话说回来,假如银行网站和别的网站可以运用这种技能去描绘出一个牢靠又精准的用户身份,有理由信任各国政府也会运用一样的技能去监督网络运用者。
「有越来越多的网站会在你匿名阅读时搜集剖析你的在线击键特征作为身份辨认的参阅,当你在运用别的网站时他们就可以运用一样技能将你辨认出来。」Thorsheim 在他的一篇博文中写道,「你喜欢那些政府机构不只会建立自个的官网,还会在暗网当中设置虚伪页面,用以辨认那些在两个网络当中穿行的大家的身份。关于威权政府来说,这种做法将带来极大的收益。」(文章来自南京欣才PHP培训课程http://www.thinksite.cn/index.php?m=content&c=index&a=lists&catid=16)
