AI時代的身份識別,無感認證將是大勢所趨

身份認證的技術迭代過程,經歷了PC時代(1981-2006年)、移動時代(2007-2015年),現在正處於AI & IoT時代(2016年以後)。

其中,PC時代的身份認證主要通過靜態密碼和U盾等硬體設備來完成,移動時代的身份認證則主要通過簡訊驗證碼和生物識別等方式。


靜態密碼和生物識別均有極高的安全隱患

傳統「賬戶+密碼」的登錄方式,保證的是賬號與密碼的匹配度,無法區別到「人」的唯一性。並且,靜態密碼會面臨弱口令、密碼復用、撞庫、暴力破解、釣魚等高風險問題,為了提高安全性,很多賬戶密碼必須包含大小寫字母、特殊字元、數字等,很大程度上增加了記憶難度。

而作為區別人和機器的手段,字元、語音、簡訊、圖片驗證碼、滑動拼圖等的風險同樣頗高,比如簡訊驗證碼易被劫持,圖片驗證碼也可被輕易破解。所以這種登錄方式的便捷性和安全性都不甚理想。

此後大行其道的指紋、人臉、聲紋等生物識別方式,雖然大幅提高了身份認證的便捷性和安全性,但是由於這些生物特徵均能用低成本方式收集,而且在人工智慧時代,破解、偽造和複製生物特徵的手段也層出不窮,由於生物特徵的唯一性,一旦丟失也無法改變自己的特徵。此外,惡意用戶也可用AI對抗AI的方式(比如污染訓練數據、生成對抗樣本,以及大量依賴三方包的深度學習庫也極有可能被挖掘出漏洞等),一定程度上繞過檢測。因此,生物識別同樣存在著極高的安全隱患。

https://www.zhihu.com/video/966606782428352512

以人臉識別為例,一種名為CycleGAN的深度學習模型就能輕鬆實現將一類圖片轉換成另一類圖片。利用AI技術,已經能夠偽造極度模擬的公眾人物表情、神態及動作,生成難以識別的虛假視頻。


AI時代,行為特徵識別是大勢所趨

隨著人工智慧、大數據的日益火爆,未來的身份認證技術,必定是AI、大數據和多種識別方式的結合,以更好地兼顧便捷性和安全性,而基於AI進行無感知身份驗證也將會是大勢所趨。錦佰安科技自主研發的統一身份認證系統SecID即是基於這一理念的核心產品。

從原理上來講,每個用戶在操作過程中,其擊鍵和其他操作行為都會有差異,並且每個人都有自己不可複製的習慣,通過這些差異即可識別用戶身份。

具體而言,SecID通過感測器多維度、多規則地收集用戶日常登錄系統的操作行為和使用習慣,然後基於卷積神經網路和循環神經網路等技術剔除干擾和雜訊,在用戶無感知狀態下持續深度學習其行為特徵,建立識別模型並與用戶本人進行相似度匹配,即可對用戶身份進行確認。通過這些核心技術,SecID不僅能有效分辨當前操作者是否為真人,而且還能精確辨別操作者是否為用戶本人。

https://www.zhihu.com/video/966607277683425280

由於每個人的行為特徵都是獨一無二的,在應用SecID後,即便用戶名和密碼被黑客竊取,後者也無法登錄賬戶。可以說,SecID實現了便捷性和安全性的完美結合,是下一代身份識別的終極解決方案。


結語

在網路安全領域,只有永遠的對抗,沒有永久的安全。從總體上看,機器學習技術會越來越多地運用到網路安全領域,以AI對抗AI的網路攻防會越來越多,在這種情況下,對用戶行為進行識別和深入研究,其價值也將會愈發凸顯。

推薦閱讀:

人工智慧寫春聯來了 人類還需要學書法嗎?
深度學習「教父」Geoff Hinton:從神經科學適應AI的想法
Berkeley CS294-112 深度增強學習 筆記 (11) 概率圖模型與軟化增強學習
谷歌首席執行官Sundar Pichai預測了十年後的人工智慧
CNN 入門講解專欄閱讀順序

TAG:人工智慧 | 網路安全 | 身份認證 |