人工智能

锦佰安CEO冯继强:身份识别可无感完成,将开创无密码认证

未来密码会消失?

2017年10月17日
调研 | 李喆 青川 撰写 | 青川
  • 人工智能
  • 行为识别
  • 安全

锦佰安成立于2016年8月,是一家身份识别技术公司。其创始人冯继强曾任通付盾CSO、青藤云安全CSO,具有多年安全领域从业经验。

身份识别技术包括两层,一是识别注册用户是否是真实用户,这也是登录12306等网站需要输入数字验证码、识别图形验证码的原因。二是核实用户身份,确保是本人操作账号,需要通过密码等方式进行验证。

锦佰安在2016年12月推出了号安产品,今年8月推出了无码产品,预计10月会推出SecID产品。号安是一个手机号数据库,包含“羊毛党”的手机号,企业可以据此防范“羊毛党”。

无码能通过人工智能技术区分是正常人在操作手机还是机器在操作,自动阻止非正常的登录、操作。在冯继强看来,图形验证码可以很容易的被机器识别,继续存在的意义不大。无码能够取代传统验证码,识别是真实用户还是机器操作。

SecID则集合了锦佰安研发的无感识别模块,以及外部应用成熟的指纹、人脸识别等识别模块,作为现有身份验证技术的补充、替代方案。

身份识别可无感知完成

目前,数字密码正在被更便捷的身份识别技术所取代,比如指纹识别正在被越来越多的厂商所采用,先是用于手机解锁,慢慢被对安全性要求更高的金融机构接受。随着iPhone推出人脸识别解锁,马云在杭州肯德基推出刷脸支付,人脸识别应用逐渐走向成熟。

除了指纹识别、人脸识别之外,也可以通过行为数据进行用户识别。每个人的行为数据都有其独特性,即便身高、体重完全相同的两个人,其落座时加速度、身体转动幅度也是完全不一样的。所以根据用户行为数据,能够做到身份识别。

锦佰安的无感识别技术,就是通过手机传感器采集用户的行为、操作数据,包括用户站立、坐下以及其他运动行为特征,用户活动轨迹、各个时间节点活动特征、日常活动地点等信息,通过大数据、人工智能等技术,在用户无感知的情况下完成身份认证。

相比指纹识别、人脸识别,无感识别技术用户体验更便捷;指纹信息在日常活动中仍存在被盗取的风险,行为数据采集维度较多,相对不容易被获取,安全性更好。所以无感识别可以与指纹识别、人脸识别并存,甚至替代。

当然,无感识别也存在一定的问题,因为要采集用户行为信息,所以目前锦佰安的无感识别需要约两周的行为数据采集时间,产品的可用性受到一定的影响。

技术层面,锦佰安对标UnifyID。UnifyID是一家美国初创公司,在今年2月获得RSA2017“最具创新安全初创企业”奖,并于7月完成了2000万美元A轮融资。

SecID将面向企业用户

SecID预计今年10月正式推出,将首先解决企业客户的需求。企业客户的需求可分两种,一是操作人员密码设置简单,导致企业网站、服务器等容易被攻击,有安全方面的需求。

SecID作为密码的替代方案,通过用户行为进行身份识别,保证了安全性。在此基础上,又能做到便捷登录。锦佰安计划与云厂商合作,获取有这部分需求的客户。

二是规模较大,员工流动频繁的企业,存在系统管理上便捷性的需求。这类企业传统的做法是为每个员工分配一个内部账号、初始密码;员工离职时需要交接账号、密码。SecID使得管理员不再需要进行账号、密码迁移工作,在员工离职后一键时收回员工权限即可。

在B端应用比较成熟以后,锦佰安才会考虑将其拓展到C端应用。目前C端应用上人脸识别技术尚未被大规模采用,无感认证更是遥远,还不具备推广条件。

近日,爱分析对锦佰安创始人冯继强进行了访谈,冯继强对公司发展战略做出了详细阐述,现摘取部分内容如下。

爱分析:为何选择做身份识别业务?

冯继强:我从事网络安全工作15年,在以前服务客户的时候发现,安全方面最需要解决的问题其实有两个,第一是可用性,第二是密码简单化。而我们在服务互联网金融领域时,发现大部分人使用的是非常简单的口令,风险很高。很多云厂商也在解决这个问题。

但安全性与易用性天然矛盾,要做到简单化就做不到安全,想要安全应用就要做的很繁琐,我创业的初衷是把安全登录、身份识别做得足够简单。

号安是创业初期过渡产品

爱分析:号安有何应用?

冯继强:号安是通过规则发现手机号是不是正常用户在用,比如这一批号码是羊毛党为了骗红包批量申请的,我们能清洗出来反馈给商家。

爱分析:向客户提供服务的方式?

冯继强:有两种。一种是SaaS平台的方式,客户传递一个手机号过来,我们返回是与否的结果。另一种是独立部署,很多机构数据不能外流,我们把名单库部署到他们网络拓扑中,通过离线包的方式及时更新数据。

爱分析:号安这项业务在锦佰安业务体系中的定位?

冯继强:号安是创业初期的一个过渡产品。本身这个产品生命周期是有限的,在客户刚起步或者做推广时作用比较大,后期作用就逐渐弱化了。另外,帮助商户检测羊毛党时,手机号只能作为一个辅助的点,单靠一个手机号码解决不了最根本的问题。

无码能区分人和机器,取代验证码功能

爱分析:无码的功能?

冯继强:无码能用于识别是人还是机器在操作APP。

首先,通过机器学习的方式,所有的验证码都可以很高效地识别,所以APP验证码的价值在降低。无码这款产品,能帮助企业在用户登录购票或者办其他业务时,识别出是否是真人在办业务,就不需要用验证码了。

其次,在风控领域,很多时候黑客、欺诈分子是用软件自动破解的方式来盗取账号密码,用无码能检测出不是人在操作,也可以直接禁止登陆。

另外还能用在互联网运营领域。很多移动场厂商为推广安装量或者提高客户活跃率,会让渠道商在各个渠道分发,但分发过程中有很多虚假安装,每年给厂商造成很大的损失。无码可以用在互联网运营,能排除机器批量刷出来的虚假安装、操作。

爱分析:无码的判断规则是怎样的?

冯继强:手机上有很多传感器,我们主要收集加速度、陀螺仪、气压传感器、光感、屏幕指压传感器,通过收集这些传感器数据,判断人操作手机的行为方式。我们之前在苏州招聘了一批兼职,让他们在各种场景中模拟,我们采集数据、训练模型、训练AI。根据AI分析,我们能判断是不是真实的人在操作。

爱分析:无码与机构用户合作提供的是标准化产品还是非标产品?

冯继强:标准化产品,我们提供标准SDK,或者将SDK源码包嵌入对方产品中,对方二次加密打包,然后再分发到用户手中。用户使用过程中,SDK采集数据,后端的AI集群做判别,基本上0.3秒就能返回计算结果。

无码现在没办法独立部署,因为后端要通过AI集群计算,部署的话成本太高。目前我们跟UCloud合作,他们推出云AI服务,我们是他们的客户。

爱分析:如何区分人与机器?

冯继强:人与机器的差别是非常大的,一个手机放在机器上摆动,摆动规律都是有迹可循的,但人的操作相对来讲规律性不那么明显,所以相对容易区分。

爱分析:无码这款产品在锦佰安业务体系中的作用?

冯继强:无码既可以作为单独的一款产品输出,也可以作为SecID的一个模块。SecID是一款非常强的身份识别产品,会由很多模块组成。

SecID尚处于研发中

爱分析:SecID主要功能是什么?

冯继强:SecID是一个便捷的身份认证体系,采集用户行为数据进行机器学习,精准识别不同人的操作特征,完成对用户的无感知认证。但SecID不是说完全替代某一认证技术,仍会将人脸识别、指纹模块等成熟认证模块集成其中,用户认为哪一个模块最方便就用哪一模块登录。

未来SecID会切入需要设置复杂密码的场景,因为人设置复杂密码大多数会有重复性,重复就不安全,SecID能帮助用户取消设置密码的流程。

爱分析:无感认证如何保证安全?

冯继强:我们的认证分为三级,第一级是没有任何感知,后端AI自动识别,在能识别身份时自动登录。在能识别就是你本人时,输入密码没有任何意义,我们的理念是让身份认证足够简单,在什么都不用做的情况下完成认证。

第二级是认证分数降下来,比如80分到100分时能确认是你本人,但60到80分时无法确定是不是本人,必须二次确认,类似微信电脑端登录时手机端能受到一个推送。

第三级是知道不是本人在用,直接就拒绝登录了。

爱分析:对用户做到无感知认证的周期?

冯继强:大约需要两周,因为要做到不影响用户正常使用,这就决定了快不起来。

爱分析:SecID的客群定位?

冯继强:前期有三个明确的群体。第一是云厂商,比如我们现在正在谈的一个云厂商,他们有十几万客户,其中很多客户安全意识比较差,密码设置很简单,容易被盗取,被黑客当做肉鸡。SecID能帮他们干脆不设置密码,手机点一下就能登录,反而更安全。

第二是SaaS厂商,特别是一些开发酒店、餐饮收单的垂直厂商,他们客户基本上都是电脑小白,每次输密码都觉得很麻烦,又没有便捷的认证手段。

第三类员工流动比较大的企业,比如客服行业员工流动性非常大,管理员要不停的更换用户身份,更换电脑、邮箱、OA密码,很麻烦。所以可以采用我们的SecID作为便捷管理方案。