这篇内容以幽默的笔触探讨了多因素认证(MFA)的未来,通过一系列富有想象力甚至荒诞的认证方法,反思了在追求安全性和用户体验之间可能出现的误区。文章列举了如扑克牌、魔方、下棋、牙齿扫描和同事关系排序等多种创意方案,最终得出的结论是,在身份认证这个严肃的领域,创新往往不是一个好主见,最可靠的还是那些经过市场检验的成熟方案。
人们讨厌多因素认证。真的,非常讨厌。
因此,思考如何改善 MFA 的用户体验变得至关重要。以下是一些关于未来多因素认证方式的“最佳”创意。
基于随机性的认证
熵(entropy)在认证因素中是受欢迎的,所以可以从常见的随机性例子入手。
- 扑克牌认证: 一共有大约 250 万种独特的扑克手牌。用户只需从 52 张牌中选出固定的 5 张牌作为密码。这个组合对于攻击者来说几乎不可能猜到,但牌友们却能轻松记住自己的手牌。
- 魔方认证: 如果觉得 250 万种可能性还不够安全,可以采用魔方。用户在注册时打乱一个数字魔方,登录时只需按同样的方式再次打乱即可。魔方拥有大约 4.3 x 10¹⁹ 种可能的状态,安全性极高。
- 棋局认证: 据估计,国际象棋的可能棋局数量高达 10¹²⁰。用户在注册时下一步棋,登录时重现这盘棋局。这就像第二个密码,没人能猜对你的棋局。
基于生物特征和行为的认证
利用每个人独一无二的特征来进行验证。
- 打字速度认证: 每个人的打字风格都略有不同。一个简单的方法是利用用户大致的每分钟词数(WPM)作为认证因素。要访问账户,你只需要 可靠地重现相同的打字速度。
- 无需硬件的指纹识别: 传统的生物识别需要特殊硬件。一个“取巧”的办法是,直接向用户展示一个指纹图案,然后问他们:“这是你的指纹吗?” 这样既有生物识别的好处,又免去了硬件的麻烦。
- 牙齿扫描认证: 根据牙医的说法,我们的牙齿和指纹一样独一无二。用户只需用智能手机实时扫描自己的牙齿即可完成验证。 > 只需把你的手机放进嘴里。
- 卡拉OK认证: AI 可以模仿普通说话的声音,但很难模仿跑调的歌声。因此,卡拉OK认证是未来趋势。用户选择一首歌并尽力演唱,系统通过分析其歌声来验证身份。关键在于必须唱完整首歌,片段不足以防范欺诈。
基于社交和AI的认证
将认证过程与社交互动或人工智能结合起来。
- 亲友验证: 系统不再将验证码发送到你的邮箱,而是随机发送给你的一位亲戚,比如你的叔叔。你需要在验证码过期前,帮助他登录那个用了 22 年的 Hotmail 邮箱。
- AI肖像认证: 用户无需提交真实照片,只需画一幅自画像。AI 会从两个维度进行评估:画像与用户真实外貌的相似度,以及用户的绘画技巧水平。这两点都很难伪造。
- 大语言模型(LLM)认证: 这是最简单直接的方式。要访问你的账户,你只需要说服 AI 让你进入。没有难记的密码,没有辅助设备,只有一个我们都熟悉的聊天界面。
企业级认证方案
将上述概念应用于更严肃的企业环境。
- 企业版电影偏好认证: 将电影排序替换为同事排序。系统会要求你对同事进行两两比较,从而得出一个排序。这可能会演变成一场灾难性的混乱。
- 同事子女姓名识别: 系统会展示一张你同事孩子的照片,你只需正确说出孩子的名字。这对于一个体贴的同事来说很简单,但对攻击者来说则不可能。
最终结论
在认证方面,创造力通常不是一个好主意。
没有必要重新发明那些已经行之有效的东西。最好的做法是直接选择一个现成的、可靠的解决方案。