Google欲杀密码　下月测试多重感应　称“更胜指纹认证”

现代都巿人开设多个网上帐户，随时要牢记数十组用户名称及密码，可谓相当麻烦。科技巨企Google公布，准备测试全新认证方法，最终目标是用家毋须输入密码，改以智能装置上的感应器撷取多组生物特征，辨认是否装置或服务的“真主人”。Google形容倘若成事，认证结果比只用指纹认证安全逾10倍。

大型金融机构率先测试

Google旗下的“先进科技计划团队”（Advanced Technology and Projects group，ATAP）主管考夫曼（Daniel Kaufman）在该公司的年度开发者大会（I/O conference）上介绍名为Trust API的认证系统，并指出将于下月在“数家大型金融机构”测试。

鉴别脸部人声手势

据Google透露，Trust API的运作原理为混合使用多项过往公认“较弱”的认证指标，而非单独一种“超强”验证方式，取代沿用多年的密码认证概念。

Trust API可以感应多个较易提供的生物特征，例如脸部识别、人声鉴别，亦将尝试向较“高难度”的指标进发——移动习惯、打字习惯、触控屏幕的“手势”等。用家使用智能装置时，Trust API将于背景持续运作，不断接收以上行为指标以作分析。

事实上按过往经验，单单以的上述任何一种认证方式绝不安全，就连脸部识别亦不例外。不过据Google介绍，集合各种“较弱”认证方式的结果，可以较指纹认证安全超过10倍。

今次Google开发的Trust API系统，与密码等传统保安措施的概念有很大分别。使用者输入密码只有对与错，结果直接决定是否可以使用装置或服务。不过Trust API的认证结果不是“对与错”，而是得出一个“分数”，并可按个别服务所需的安全程度，调整“及格分数”。例如银行系统等重要服务平台，可要求用家提供更多生物特征，甚至要配合传统密码方式，方会“放人”进入系统。

Trust API服务将开放予第三方测试，容许其他机构的保安系统使用。初期首先供使用Android智能装置的银行客户作测试，Google称其他保安系统开发者将可于今年底陆续参与。

正在研发同类保安技术的科技公司并非只得Google，总部设於伦敦的Nok Nok Labs亦有相似的建议，设立一个“信任网络”（network of trust）。

认证管理公司Gigya的销售总监拉克（Richard Lack）分析：“将来认证不再需要密码，方便消费者之余，也可提升保安水平。”他认为Google的方向将有可观回报，指出欧洲互联网使用者平均设立约100组密码，感到相当困扰。拉克又称网上帐户登记过程变成极差的体验。

“生物认证是强大的工具，不但更安全，也可促进生意登记用户数字、搜集数据、分析用家习惯。”拉克又形容，密码的“丧钟”将比预期更早响起。

（卫报／Mashable）