妙趣横生的生物认证技术

假设有第三者以某种手段获取了ID和密码（Password），并登录到会员专用网站浏览内容信息或进行网上购物，如果这时网站显示“您确实是A吗？”的确认信息，那么访问将不得不中止。　　此时，如果Web站点重新对用户身份进行再确认，比如“为了确认您是否是真实用户，我们将向您的注册邮件地址发送重新确认用密码。请您在显示的对话框中输入密码”等。只要上述那个获得ID/密码的第三者没有获取邮件密码，非法访问就被迫到此结束。　　上面所讲的是即将进入实用阶段的生物认证技术的一个使用实例。实际上，这一技术的最大特点是通过用户特有的某种“生体特征”，在登录之后也能“继续确认”是否是真实用户。　　生物认证的精髓就在于用户无需为认证而进行特殊操作，只要进行与往常相同的操作就能够判断出真伪。

不只是“把守入口”

　　目前，用户认证中用得最多的是ID/密码方式。但是，因用户的安全意识及使用方法的不同，ID/密码的安全程度也会有所不同，例如是否使用生日等容易推测的密码、或是否让他人看到过写有密码的记录本、以及是否定期更改密码等等。　　而与此相对，生物认证的操作则十分简便，而且需要用户注意的事项也很少。目前，指纹、掌纹、声纹、虹彩、视网膜、脸形等身体特征及笔迹等各种各样的生物认证技术正在进入实用化阶段。　　但是，过去这些认证技术最终还只是一个旨在进入系统或网络的用户认证方式而已。即使是使用了生物认证，其意义也与导入使用数字证书的PKI（公开密钥）及OneTime Password一样，只是在把守着入口处的“大门”。　　一旦第三者以某种手段侵入了系统，那接下去便可肆无忌弹地长驱直入了。或者真实用户在注册之后离开机器，这时即使被第三者任意滥用，服务器方面也无法察觉。　　由此，应运而生的是新的生物认证技术。所谓生物认证是一项核实人本来便具有的身体特征的技术。通过通常的用户认证--“大门”之后，如果是真实用户，那么其特点自然就应该是相同的。下面就为大家介绍几项着眼于此的技术。

随时检查鼠标握姿

　　由富士施乐开发的“鼠标握姿”认证技术便是其中之一。当用户每次点击鼠标时，系统可通过检查手握鼠标的姿势来判断是否是真实用户。也就是说，不仅仅在注册时，在注册之后的操作期间也能够确认是否真实用户。这一技术产生的思路是：从人本身及平时的行为中寻找有关认证的要素。　　为了读取握鼠标的姿势、正确的说是为了读取握鼠标时手的形状，富士施乐试制成功了各嵌入4个发光二极管和感光晶体管的鼠标。每点击一次鼠标，发光二极管就会发出红外线，而感光晶体管就会读取手掌反射回来的光进行判断。　　从对比精度来看，将他人错误识别成真实用户的概率为1～2％，略逊色于指纹认证的0.1～0.0001％等。但是，也可以通过与其它认证技术配合使用等方法投入使用。

键盘敲击节奏也是认证对象

　　同样，美国斯坦福大学等正在进行通过敲击键盘的节奏等来进行用户认证的研究。这是一项即使第三者获取了他人的密码、也能通过敲击键盘的节奏等来确认真实用户的技术。美国Net Nanny Software以斯坦福大学开发的技术为基础投产的“BioPassword”就是其中的代表。　　很遗憾，与鼠标认证技术不同，这项技术还没达到能够让认证用户随意输入文字的水平。目前采取的是事先决定要输入的文字序列，然后检查敲击节奏的方法。具体来讲，通过核实输入用户ID与密码时的按键时间、敲击键盘的时间间隔等来确认是否是真实用户。目前，S&I正在日本国内销售此项技术。　　使用这一技术，可以建立即使第三者知道ID/密码也无法仅凭这些进行登录的系统。而且，这一技术的另一魅力在于不需要特别的输入装置（硬件）。

通过语音判断用户身份

　　基于语音的认证技术也正在向实用化迈进。使用语音的特征——声纹的用户认证已经投入使用。这是一项通过用户说出密码时的语音来确认用户身份的认证方法。　　目前，正在研讨的是通过检查电话中交谈的语音来判断用户身份的技术。在电话推销或售后服务等电话窗口中，被恶作剧及骚扰电话而苦恼的情况很多。而且，大多是由同一个人多次打进这种电话。　　在这种情况下，可以通过语音推断出“惯犯”，并采取适当的措施——这也是推进电话语音认证技术的目的之一。不过，这一使用方法有“以貌取人”的嫌疑，弄不好就会导致歧视现象。因此，实际应用中需要谨慎。　　上述生物测定技术的实际应用，也许有可能让用户产生一种“总被监视着”的抵触心理。但是，通过宣传其目的是为了防范第三者的非法访问，相信应该会得到用户的理解的。