網站被入侵、個人資料外洩的新聞不時傳出,而如果外洩資料包含電郵地址及帳戶密碼,由於不少人習慣重複使用密碼,使會令其他網站的帳戶變得不安全。使用雙重認證固然比較安全,但亦需要提防另一種認證方式失效(例如丟失了電話)。
隨著技術發展,電腦以至手機的運算能力增加,生物辨識技術已變得普及,不少智能手機能以臉部或指紋識別解鎖,甚至可用來確認身份。除了用身體特徵辨認身份外,用家的行為習慣也能夠防止他人冒認,與此同時,在未有通知下收集有關資料,會引起侵犯私隱的憂慮。
《紐約時報》報道,現時已有公司開始使用或測試這類行為特徵辨識技術,主要作用是偵測冒認身份。
發現冒充者
蘇格蘭皇家銀行(The Royal Bank of Scotland)是少數會公開討論收集行為數據的銀行,他們兩年前起開始在富裕客戶的私人戶口測試此技術,現在系統已應用至所有1879萬個戶口。
當客戶登入其戶口時,系統軟體會記錄超過2000個不種的互動手勢,例如在手機上,它會記錄拿電話的角度、滑動及點按所用的手指、按下去的壓力、滑動的速度等。而在電腦上,軟體會記錄打位元組奏和滑鼠移動的方式。
為蘇格蘭皇家銀行設計軟體的紐約公司BioCatch表示,該系統為每人的手勢建立個人檔案,並跟客戶登入時的動作對比,更指其系統發現偽冒者的準確度達至99%。
幾個月前,一位富有客戶登入戶口時,系統偵察到異常訊號︰在登入後,這位訪客使用該客戶不曾用過的滑鼠滾輪,輸入數字時亦使用鍵盤上方的數字鍵,而非客戶常用的右側數字鍵盤。
蘇格蘭皇家銀行的創新主管漢利(Kevin Hanley)表示,這些訊號令系統阻止該戶口現金外流,調查後發現該帳戶被入侵。他說︰「有人嘗試設立新的收款人,再轉帳7位數的金額。我們即時介入,並成功阻止。」
Image Credit: Depositphotos
不妨礙用戶
當然,這宗案例明顯異常。然而用戶行為本來就非完全一樣,當人疲倦、受傷、醉酒、分心或趕急時,坐在辦公桌前或躺在床上,其動作都不會不一樣。監察行為的軟體需要透過數以千計的元素,計算出正在線上的用戶確實是其本人的機率。
大多數智能手機內置各種感應器,以及運算能力變得便宜,令到行為辨識技術變得流行。漢利亦指出,這系統不干擾用戶操作是其中一項吸引之處,傳統生物識別技術用上指紋、虹膜等,需要特別的掃描器作,相比之下,系統可在背景捕捉行為特微,用戶無須額外做任何事情。
BioCatch的軟體有時候會透過一些小改動,例如讓滑鼠游標短暫消失,引發用戶的反應。該公司的策略及營銷總監撒拉斯尼(Frances Zelazny)說︰「每個人的反應都有些微分別。有些人會左右移動滑鼠,有些人會上下移動,有些人會按鍵盤。」由於反應視乎個人,這技術令偽冒者難以模仿,而且不會讓用戶感受到麻煩的保安測試,不用按指紋掃描器也不用輸入驗證碼。
另一家為不少北歐銀行提供軟體的資訊安全公司BehavioSec的行政總裁哥斯提根(Neil Costigan)說︰「我們不需要人在完美的實驗室環境中坐下打字,你只需要默默觀察他們的正常行為。」
而且不像其他傳統認證方式,以行為特徵辨識身份並不止於登入一刻,在登入後仍可持續監察,增加偽冒身份的難度。
在打擊詐騙方面,這項技術甚至可以在沒有消費者個人資料的情況下,仍能夠發現欺詐。例如申請新帳戶時,行為特徵辨識系統會注意申請者填寫資料時在甚麼地方停下多久。一般申請者能夠流暢輸入個人資訊如姓名、電話及地址等,偽冒者通常使用「剪下」「貼上」功能,或者停下來查看資料。
使用者知道嗎?
這種不妨礙使用體驗的設計,卻有可能引起私隱問題。首先,跟指紋、臉部識別等認證不同,行為特徵辨識毋須使用者主動提供資料,消費者可能不知道自己的行為數據被收集。
世界私隱論壇的執行總監迪臣(Pam Dixon)指出︰「這是一般情況下應該需要保障消費者的數據,但他們沒有任何保護。使用這些系統的公司並沒有任何告示。」而在大多數國家,收集及採用行為特徵數據不受法例規管。迪臣又提到,雖然有時候這些公司會在內部儲存客戶數據,但很多時他們都容許提供服務的公司管有數據,這會增加風險。
撒拉斯尼表示,BioTech已有7000萬人的檔案,每個月監察60億筆交易。其競爭者Forter更指數據庫記錄了來自180個國家共1.75億人。換言之,假如這些公司被入侵,受影響人數可能有幾千萬以至過億。
私隱問題
那麼,數據被收集會引起甚麼問題呢?
其中一個潛在問題是,這些系統或能夠偵察到用戶的身體問題,例如若用戶開始手震的話,負責其汽車保險的公司可能會關注,但萬一用戶的銀行是其保險公司,同時能夠透過其軟體發現他的手不像過往般穩定,那有可能在用戶不知情下影響到其權益。
另外,銀行能夠以行為特徵確認身份,相關數據同樣會令人更難在網路上不留下痕跡。資訊安全研究人員便曾經發現,即使用上強調私隱、為匿名上網而設的Tor瀏覽器,他們仍能夠為訪客的行為特徵建立檔案,假如在別處——例如銀行或其他使用行為特徵辨識的平台——取得同一人的資料,便能夠對比確認身份。對於需要避開監控的人而言,這並非好消息。
而且這些數據可結合其他追蹤方式,更大規模記錄所有人上過甚麼網站。過往有研究顯示,只需要少數瀏覽記錄便能夠「起底」找到用家的社交媒體帳戶;或者單憑「匿名」瀏覽記錄(僅得網址及相應的用戶代號)結合網上公開資料,就可以確認用戶的真正身份。
相關文章︰
資料來源︰
- Banks and Retailers Are Tracking How You Type, Swipe and Tap (The New York Times)
- Keyboard strokes and smartphone swipes used by banks to detect fraud (The Telegraph)
- Pre-Crime Startup BioCatch Authenticates Users Via Touch And Your Phone’s Accelerometer (TechCrunch)
- How the way you type can shatter anonymity—even on Tor (Ars Technica)
- Behavioral Biometrics Are Not New, So Why Are They So Hot Right Now? (Forbes)
- Biometrics: Who's Watching You? (EFF)