RSA 2017 创新沙盒大赢家 Unify ID 到底是何方神圣?
北京时间2月14日凌晨四点,地球另一边的洛杉矶举行的RSA 2017大会创新沙盒大赛,一个叫UnifyID的创业公司从十家参选公司中脱颖而出,成为全场“大赢家”。 这家公司号称“能让人们彻底不需要密码”,好吧你是不是听这话听得有些腻了?小编编辑其实也有些听腻了,不过当我看完 UnifyID 的介绍,依然忍不住“双击666”。 先介绍一下创新沙盒大赛有多厉害。 RSA 创新沙盒大赛(Innovation Sandbox)是什么?有人称之为“安全界的奥斯卡”,有人称之为“安全技术创新和投资的风向标”,每届RSA大会的创新沙盒活动都是万众瞩目的焦点,其中聚集了众多创新公司用来对抗信息安全风险的创造性尖端技术。 据宅客频道了解,每年的赢家都在获胜后的一年内成功获得投资,不少公司已经发展成为了业界领跑者。目睹一下RSA 2017 RSA创新沙盒大赛现场,图片由友媒安全客赞助: 【从PPT上看,参赛公司不少】 最终,在众多参选公司中,一个叫UNIFY ID的公司夺得桂冠,成为万众瞩目的焦点。那么这家公司到底是做什么的呢? 【获奖的UNIFYID】 在UNIFY ID 的官方博客上,宅客频道找到了其创始人及CEO亲自撰写的关于公司及产品由来的介绍,由宅客频道演译,为大家还原整个产品发展的来龙去脉: --- 作者:John Whaley UnifyID CEO & Founder 一年时间的埋头苦干,终让Uify ID走向世界,真是令人高兴和自豪。UnifyID的最终目标是解决一个古老而根深蒂固的问题: 如何证“你”是“你”所说的“你” (how do I know you are who you say you are?) 传统的(数字)认证方式是密码,但是仔细一想,密码的概念其实相当荒谬。我们来回想一下,密码的概念其实是这样的:有一个秘密只有我知道,所以我告诉你这个秘密就可以证明我是我。 那么问题来了,我是否需要为每个证明自己的场景都准备一个秘密?我可记不住这么多秘密。可倘若我在多个场景使用同一个秘密来证明自己,那这个秘密还是秘密吗?这个秘密很快就变成了公开的事情。(小编注:暗讽大规模密码泄露) 而且这些秘密也很容易被哄骗或者钓鱼手段,套路出来。(注:暗讽盗取密码) 如今甚至有的人还开始用“娘家姓”这种很公开的信息来证明一个人的身份(指代常见的密码找回问题:你的母亲姓什么?),这难道不荒谬至极? 不是针对谁,现有方案都不行在这种情况下,有人提出用“密码管理工具”的方式来协助人们记录繁多的密码。但密码管理器工具只是个临时解决方案,它只是帮你记录越来越长的密码列表,却并没有解决本质问题 —— 只要有人知道你的“秘密”,他就能冒充你。 所以密码管理器就像是个温柔陷阱,它把你的所有“秘密”汇聚到一起,然后用一个"主密码"来锁住它,一旦你的主密码被钓鱼、被记录、被猜出或是任何一种形式被他人获知,你的所有“秘密”鸡飞蛋打,牵一发而动全身! 另一种方式是用指纹一类的生物特征来识别你的身份,但显而易见,单就指纹而言就存在两个问题: 1)桌子、杯子、门把、方向盘……你的指纹到处都是。 2)一旦被破解,你很难改变自己的生物特征。 其他生物特征同样存在这些问题,你的脸部特征、声音、都很容易捕捉,而且这些方法并不会为安全性带来任何好处。 第三种方式是使用设备来认证用户身份。 【常见的银行动态口令】 这种方式已经出现许久,有大量的厂商在“教育市场”,有强大的资金链在推动这一产业,但它从未成为主流的认证方式。 因为你需要额外随身携带一个物件,上面有个30秒或一份钟改变一次的数字,你还必须在变换之前读取并填入。看起来你用这个设备来证明你是你,可一旦你遗失了这个设备,你就没法证明你是你了。 于是,有的厂商意识到用户不想额外携带认证设备,他们就推出了所谓的“软令牌”,通过一个手机APP来实现类似的功能来替代原本的硬件设备,这样用户拿个手机就能替代原来的硬件设备。或者通过手机短信验证码的方式来证明你是你。 但老实说,这些方式不仅用起来烦人,而且并没有提升什么安全性。 总结一下,以上所有现有的认证方式都有个共同点: 1)很烦人 2)并不能带来安全性的提升 而 Unify ID 出现,正是为了解决这些问题。 UnifyID 如何诞生?几年前我和同事库尔特通过一个 Demo , 对用户打字时击键的方式、间隔以及输入的内容来进行规律分析。我们发现一个震惊的消息:每个人都有其独特的打字方式。
也就是说,你在输入一段话的功夫,我就能判断这个人是不是你。 (编辑:ASP站长网) |