Post
脑电波密码的风险转移
身份认证的难题从来不只是记忆负担,越自然的方案往往也越容易把用户暴露给新的系统性风险。
未来的密码 -- 脑电波?看到一篇说用脑电波来做密码的文章。
密码是互联网带来的最反人类的负担之一,如果有教过老人上网的经验的话,体会应该尤为深刻。设置复杂了记不住,设置简单了有风险。虽然现在的智能手机都引入了指纹视网膜等生物特征来解决这个问题,使用复杂度是降低了,但风险实际更大了,毕竟人只有 10 个指头,2 个视网膜。比如 2015 年,包含560万美国联邦雇员指纹的数据库被泄露。
该文章中描述了一个实验,给一个人观看一张图片或者听一段音乐,每个人的大脑对这种刺激产生的脑电波都是不同的,然后就可以通过这种特征将用户的身份关联起来。下次用户要登陆的时候直接给看原来的图片或听原来的音乐就行。如果这个特征被泄露,用户只需要更换图片或音乐就行。
如果用程序员的话来解释,每个人的大脑相当于内置了一个 hash 函数,并且这个 hash 函数的算法是不同的,用户自己也无法改变这个算法。然后用户看图片的时候,大脑会把这个图片的 hash 特征通过脑电波传达出来,同一个图片的多次 hash 结果是一样的。如果 hash 结果被泄露,换个数据就行,hash 算法无法泄露。听起来确实像一种完美的密码方案。
当然,这种方式最大的问题是用户的脑袋上需要带上个设备,但如果用在 VR 这种场景就完全没有问题了。也有可能未来人类的上网设备就是要长期带在脑袋上的。