美國防部購買創新的TwoSense行為生物特徵認證產品
本月初,創立於2014年、總部位於紐約布魯克林的網路安全公司TwoSense宣佈其在去年10月得到美國國防資訊系統局(Defense Information Systems Agency,DISA)價值242萬美元的合同,內容是為美國防部提供可替代使用者當前使用的實體驗證卡“通用訪問卡(Common Access Card,CAC)”,由人工智慧驅動的生物特徵驗證技術。對TwoSense公司產品的採購,也是國防資訊系統局更大規模的“保障身份資訊倡議(Assured Identity Initiative)”的一部分。
TwoSense公司執行長達烏德.戈登(Dawud Gordon)指出,該公司和國防資訊系統局都認為“持續驗證”是安全身份識別的基石,由於基於行為的驗證對使用者來說是不可見的,因此此類技術可在無需使用者採取任何額外操作的情況下持續使用。該公司目前已產品化的行為生物特徵認證技術可通過智慧手機和工作組計算機,來比對裝置操作者的動作、互動和習慣——例如其“以服務形式交付的系統(System-as-a-service)”的一個特殊功能就是可圖形化地表達由心臟泵血進入血管而導致的肌肉活動的“投影心搏描記(ballistocardiography)”技術,該系統還可測量使用者行走的步態、習慣的手機攜帶位置、手臂壓力、裝置與使用者身體的距離、使用者輸入節奏等指標。最終,執行在TwoSense雲內的機器學習演算法將可學習每個使用者獨一無二的習慣——使用者如何行走,如何使用手機,如何通勤甚至使用者閒時如何消磨時間。
如此細粒度的觀察或許會讓少數美國防部僱員感到自己的隱私被侵犯,但TwoSense公司認為從僱主的角度來看這將是一種比PIN碼、密碼和基於簡訊的雙因素驗證方案更有吸引力;而對僱員來說,儘管犧牲了若干隱私,但也不再需要尋找密碼器和檢查手機簡訊來獲得雙因素驗證程式碼。由於TwoSense的行為生物特徵驗證方案是持續作用的,因此黑客也很難獲得實施網路滲透的時間視窗。
美國防資訊系統局網路創新部門(Cyber Innovation Division)負責人傑裡米.科利(Jeremy Corey)在去年5月的武裝力量通訊與電子協會(Armed Forces Communications and Electronics Association,AFCEA)在巴爾的摩舉辦的“防禦性網路行動研討會(Defensive Cyber Operations Symposium)”上指出,國防資訊系統局已認識到“通用訪問卡”在移動環境中表現不佳,因此該機構希望能在使用移動裝置作為驗證及訪問手段時,維持與使用“通用訪問卡”同級別的安全性,同時也希望能通過創新的安全驗證手段,推動形成一個可用於日常運作的單一平臺,併為一個裝置在多個不同密級網路的潛在使用提供支援。
宣告:本文來自國際安全簡報,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。