�������
網絡安全研究人員已經掌握了一種長期以來只存在于理論當中的用戶身份識別技術,該技術具有很強的實用性,在遭遇網絡遠程攻擊時可以讓那些使用 Tor(譯者注:洋蔥瀏覽器,一種可以匿名瀏覽網絡的工具,可以為網絡流量三重加密,將用戶流量在世界各地的電腦終端里跳躍傳遞,很難追蹤其來源)的用戶以及任何想要在網上掩飾自己身份的人都無所遁形。
���
當網站用戶輸入用戶名、密碼以及鍵入其他信息時,這種技術將收集用戶的擊鍵特征。通常在經過不到 10 分鐘的「學習」之后,該技術就可以識別出在網絡的另一端持續進行打字輸入的人是否是同一個個體,這種由技術得出的個體識別結果有著高度的確定性。這種身份識別技術發揮作用的關鍵在于獲得并分析了來自計算機鍵盤傳遞的信息。對于每一個人來說,在打字時其手指在按鍵之間的短暫間隔以及按下每一個按鍵的精確時間長度都是獨一無二的,這種身份識別技術可以將用戶的打字習慣當成一種數字指紋,并用以確認身份。
������
如果這種識別技術在網站數據庫之中廣泛使用,那么網站就能夠根據不同用戶的打字習慣差異進行身份識別。這種技術的發展令人不安,Per Thorsheim 以及 Paul Moore 這兩位研究者已經開發出了一種 Chrome 瀏覽器插件,用以應對這種身份泄露的威脅。這種插件可以捕捉到用戶的鍵盤輸入方式,當將這些輸入信息傳遞到網站時,該插件可以通過一個簡單的延遲并使用偽造的隨機輸入規律替換原有輸入方式。插件開發者 Thorsheim 是一位網絡安全專家,而 Moore 是一位信息安全顧問,他們認為這種通過打字識別身份的技術是一種對于網絡固有的匿名性的傷害,因此才想到要開發出這種保衛網絡匿名性的插件。
讓隱形人無所遁形
����
「如果僅僅是一家網站收集你的這些在線打字使用習慣信息,那么你所面臨的風險可能并不大,」網絡安全研究者 Runa Sandvik 曾經參與了開發 Tor 的過程,「真正的威脅來源于這種行為識別技術可能會被同一家公司或組織所擁有的多個網站使用。這種行為會傷害網絡匿名性并且使得用戶面臨隱私暴露的風險,這些網站能夠跟蹤收集用戶鍵盤輸入行為,獲取用戶在網頁中的所作所為,并且將其分析結果與你在另一網頁中的操作行為進行比較,這樣就能夠識別出你的身份,至于你在上這兩個網站時使用的是哪一種 IP 地址,都不會影響其確認的結果。」
������
Sandvik 表示她曾經使用了升級過后的 Tor 瀏覽器訪問了一個采用了打字識別技術的測試網站,這個網站能夠通過她獨特的打字習慣刻畫出她的用戶身份。無論使用這種打字習慣識別技術是出于網站運行者自身的心懷不軌,又或是為了與當局監管者進行配合,那些試圖對抗 Tor 這個匿名瀏覽器的諸多網站能夠使用相似的身份識別腳本跟蹤來自公開網絡或者隱藏了 IP 的暗網(譯者注:暗網即無法被搜索引擎收錄內容的站點)用戶。Tor 瀏覽器限制了這些網站中運行的大量 Java 腳本,Sandvik 想使用這種方法看看是否能阻止類似網站的身份識別過程。當這些 Java 腳本不能工作時,果然身份識別技術也將被鎖定。不過雖然鎖定網站的 Java 腳本是行之有效的,但是這種方法可能仍然阻止不了身份識別技術的侵入,因為該技術最終會找出使用 Java 腳本之外用于衡量用戶敲擊鍵盤習慣的方法。
�����
收集用戶獨特的擊鍵特征是一種典型的行為生物學識別的案例,這種方法就是將監測一個人的所作所為,比如通過收集個體說話、走路、打字的習慣并用于分析。據 Thorsheim 與 Moore 介紹,到目前為止,已經有很多銀行網站都使用了擊鍵特征身份識別技術去作為登錄網站用戶的一種額外身份驗證。從理論上說,這種做法可以幫助銀行網站去檢測到意圖劫持、盜取用戶賬戶的行為,即使冒充用戶的不法分子使用了正確的用戶名與密碼登入網站,也逃不過身份識別技術的法眼。鑒于這種行為生物學識別技術也可能用于正當且有利于保護用戶利益的地方,Thorsheim 與 Moore 開發的這種 Chrome 瀏覽器插件也可以將特定的網站加入白名單之中。
����
老實說生物行為識別并不是什么全新領域,有據可證棱鏡門中的主角斯洛登從 2007 年開始就使用了類似技術,人們早就意識到了使用生物行為識別技術可以確認出那些隱于鍵盤之后的操作者的身份。如果你在圖書館中進行相關檢索,將會發現海量的研究論文向你展示了如何進行網絡用戶身份識別,以及如何解決 Tor 瀏覽器帶來的匿名問題。不過話說回來,如果銀行網站和其他網站能夠使用這種技術去描繪出一個可靠又精準的用戶身份,有理由相信各國政府也會使用同樣的技術去監視網絡使用者。
�����
「有越來越多的網站會在你匿名瀏覽時收集分析你的在線擊鍵特征作為身份識別的參考,當你在使用其他網站時他們就可以使用相同技術將你識別出來。」Thorsheim 在他的一篇博文中寫道,「你喜愛那些政府機構不僅會建立自己的官網,還會在暗網之中設置虛假頁面,用以識別那些在兩個網絡之中穿行的人們的身份。對于威權政府來說,這種做法將帶來極大的收益。」
