所有人都知道密碼是靠不住的。于是現(xiàn)在有一個有意思的行為生物識別是“你是如何打字的”，或稱為輸入行為生物識別技術(shù)。

[[143199]]

生物識別正在廣泛推廣

大多數(shù)網(wǎng)絡(luò)用戶在選擇密碼時都十分大意：在不同地方使用相同的密碼或者總是設(shè)置易破解的弱密碼。如果對于這樣的錯誤視而不見，那么他們的電腦總能感染可以監(jiān)控你鍵盤敲擊以及盜取登錄憑證的間諜軟件。

能夠更加充分地證明登錄者就是本人，顯然會大大提升很多網(wǎng)站(尤其是網(wǎng)上銀行)的“幸福指數(shù)”。一些在線服務(wù)解決這個問題的方式之一便是采用雙重認證，可能要求用戶輸入一個隨機生成的密碼。攻擊者可能會獲得你的密碼，同樣他們也很可能物理獲取顯示隨機PIN值的設(shè)備。

然而，身份驗證可以做到的遠遠不止這樣，它不僅要檢測你是否知道你的密碼，以及你的密碼是什么，更要知道你是誰(如iPhone中TouchID就是對生物識別的應(yīng)用)。

現(xiàn)在有一個有意思的行為生物識別是“你是如何打字的”，或稱為輸入行為生物識別技術(shù)。

擊鍵識別技術(shù)

真實情況就是人在打字的方式是有不同的。而這種差異很大程度上是視覺無法捕捉到的，但是電腦卻可以通過觀察區(qū)分出不同的打字者。例如，你敲擊不同按鈕時所間隔的時間、你指尖按壓每個字符按鈕的時長、你敲擊某串特殊字符的時間，等等諸如此類。

這些測量結(jié)果對于大腦來說十分細微，難以察覺，但是電腦則可以測量出精確到毫秒的事件。

如果你是從安全角度看這個問題，那確實很酷。已經(jīng)有幾家網(wǎng)上一行在做生物識別技術(shù)，并且已經(jīng)一段時間了，作為他們打擊詐騙的一部分，這聽起來是挺酷的。

但是，如果鍵盤行為生物識別術(shù)被用來泄露隱私，那又該如何是好?

如果有個網(wǎng)站檢測出你的碼字方式，那么可以很輕松地將這些信息加以濫用。

即使你使用了Tor之類的服務(wù)器來隱藏你在網(wǎng)上的行蹤，掩飾你的身份，然而某個特殊網(wǎng)站記錄下了你敲擊鍵盤的方式，你的身份很可能就會被出賣給想要知道的人。

反鍵盤識別：KeyboardPrivacy

現(xiàn)在問題來了：鍵盤敲擊識別技術(shù)真的靠譜嗎?

安全研究者Paul Moore和Per Thorshein聯(lián)手開發(fā)并測試了一個工具，可以將用戶與網(wǎng)站交互時的敲擊轉(zhuǎn)為常規(guī)方式，同時對人類無法察覺的差異進行了干預(yù)，最終可以瞞過任何試圖識別或收集用戶打字行為的網(wǎng)站。

兩位研究者發(fā)布了一個Chrome中的拓展KeyboardPrivacy，可以讓你打字看起來完全不像你，而是像一個完全不同的人。

觀看下面這段視頻，Per Thorsheim演示了一個可以成功識別鍵盤行為生物信息的網(wǎng)站，而KeyboardPrivacy插件則又是如何瞞天過海的。

研發(fā)者在博客中表示，他們并不是試圖阻止所有網(wǎng)站使用鍵盤行為生物識別技術(shù)進行身份驗證：

正如我之前提到的，安全和隱私之間需要保持一個很好的平衡，這點很重要;很少有提升一個性能卻沒有其他方面衰退的情況(密碼管理器或許是個例外)?；蛟S你并不介意訪問每個網(wǎng)站時泄露一些個人信息，或許是你的網(wǎng)銀要求你這么做，你可以根據(jù)不同網(wǎng)站需求設(shè)置是否要禁用這一插件。

即使你的生物信息被泄露給第三方機構(gòu)，除非你登錄這些網(wǎng)站時“碰巧”禁用了這個插件，否則就沒有什么危害。密碼的最大問題并不是太長或者過于簡單，而是重復(fù)的使用。你的(有意或無意)行為被生物識別技術(shù)在不知不覺中分享于各個站點之間。