致公眾以及擊鍵動力學領域專家學者的公開信

致公眾以及擊鍵動力學領域專家學者的公開信

  致公眾以及擊鍵動力學領域專家學者的公開信說了些什麼呢?和小編一起閱讀吧!

  各位朋友:

  你們好!

  我叫戴燾強,今年18歲,是一名浙江籍高三學生。

  現在是2016年6月7日8點整,我正坐在書桌前開始撰寫這封信。

  此時此刻,全國各地的高三學子正帶著或喜或悲或激動或絕望的心情走進考場,他們是今天的主角,無論結局如何,我想這都是一份榮耀。

  首先祝我的同學們好運,可以考上理想的大學。

  至於我,我是一個被命運遺忘的人。至少現在,沒有人在校外等我。

  我沒有參加今年高考,原因很簡單,我的考試成績不足以使我進入一個滿意的大學。

  所以我乾脆放棄了這次機會,來這裡把事情講講清楚,關於這些年來我的經歷。我不指望所有人都能夠理解,只是希望某些我身邊的人看完之後不要再為難我。我從來就不是一個好學生,這一點,毋庸置疑。

  我不知道我是怎麼愛上網路的,大概是從小學五年級第一次接觸電腦開始吧,後來,那個永恆的Windows XP,就一直刻在了我的心裡。時不時的,它就會在我的腦子中冒出來,把我引到各種黑網咖。

  幾年後,我上初中,每次電腦課,我都是第一個衝到機房的。那個時候,雖然家裡還沒有買電腦,但我已經是一名職業白帽子,受僱於某家網路安全公司旗下的非營利性極客團隊。

  這期間發生了很多事,暫且不表,我至今也想不通他們為什麼會看中我。不過,我的網費總算是有著落了,光這一點,就值得當時的我為他們做事。

  那時,我還沒有寫日記的習慣,所以諸多細節已經淡忘。不過我唯一能夠確定的是,他們自始至終也沒有涉足灰色產業、沒有作惡,這一點令我萬分傾佩,明明有如此之大的實力。要知道,在當時的大環境下,做到這一點是非常難得的。

  我的隊長常說:能力越大,責任便越大。我們始終需要肩負起、身為新時代好青年的責任。每當這時,總有一幫人會跟著附和。

  我當時並沒有精通某項技術,只是略作培訓以後,在其中扮演起了一個引路人的角色。說實話,工作十分無聊,就是收集資訊、尋找能人異士,把全世界所有優秀的、正義的有志青年,都招募到我們團隊。

  然後共同,為集體的目標而奮鬥。

  雖然我的工作沒有什麼挑戰性,但當時青澀的我,還是認真地幹了一年。我雖然沒有能力向他們那樣,做一名網路世界的俠客。但至少我可以做好自己的事情,不是嗎?

  起初的我真的什麼也不懂,像只無頭蒼蠅一樣找不到方向,但是我的隊長經常鼓勵我:彆著急,慢慢來,你總會有所收穫。後來,我又得遇前任組長指點,然後初窺門徑,繼而深陷其中、不可自拔。那段時間,我的業務能力有了一個質的飛躍,從無到有,從有到多,短短几個月時間,我管理的小組成員已經遍佈全球。不過與此同時,我的精神狀況也隨之變得越來越差,當我意識到自己頻繁地面對空氣說話的時候,我知道應該就此罷手了。

  那天是一個陽光明媚的日子,比特幣的價格正水漲船高。當我做完最後一筆,從所扮演的角色中抽身而退的時候,我拿到了第四季度的酬金:20比特幣,摺合人民幣約95000元(按當時成交價計算)。

  這筆錢,我知道肯定又是隊長自掏腰包的。因為我們作為一個非盈利性團隊,僅靠幫助企業挖掘修復漏洞,不可能有這麼高的收入。

  我的家庭並不富裕,這筆錢對當時的我來說是一筆非常非常可觀的收入(現在依然如此)。正當我感概隊長有錢任性並對未來無限憧憬之時,我做了這輩子最後悔的一件事:將其全部存入了某交易平臺的Hot wallet,靜候升值。

  一週後,該網站宣稱遭受駭客攻擊,所有其名下託管的比特幣全部丟失。此時,比特幣的交易價格突破了900美元。

  我因此直接損失了112680元人民幣(按當時匯率計算),這一突如其來的狀況使我不知所措。

  後來我瞭解到,此次事件的起因是因為其VPS提供商的伺服器的超級管理密碼洩露。由於資金斷流,在此之後我不得不尋找其他可以賺錢的機會,以抵消我從事極客活動所產生的各種債務,那時我已經深陷其中。要知道,無償幫助別人挖掘漏洞,是需要付出代價的。

  不久以後,我所在的團隊也終於因為經濟壓力宣佈解散,因為許多企業沒有在規定期限內支付我們承諾的報酬。財產清償後,我得到了10比特幣補償金。加上成員們的幫助,終於償還結清了所有債務。

  我還記得那天,我問他:為什麼我們要做這種總是被人誤解、吃力不討好的事情?

  他沒有回答。

  此後,我退出江湖,他們也銷聲匿跡,我的職業生涯就到此為止。

  俗話說春夢了無痕,年少輕狂也不見得沒有一點代價。那些年正是意氣風發的時候,幡然醒悟之時,發現回頭不晚,這恐怕是我懵懂的青春期裡最大的幸運。此後,2013年,我順利考入高中,然後過著和普通學生一樣的生活。

  光陰荏苒,歲月如梭。轉眼間,我進入高中已有一年。

  這一年間,我體驗了寄宿生活,結實了許多朋友,分享了珍藏的電影,吹過了各種牛B。我從不善言談到滿嘴跑火車,漸漸的淡忘了過去發生的一切,好像真的就融入了這個集體。

  我的日子過得很充實,只是常常面對黑板發呆。我不明白自己想要什麼、在幹什麼,只能寫寫小說排解我內心的苦悶,在每一次晚自習上。

  高一下學期結束以後,我知道應該做出點改變了。而後,我利用暑假的時間自學了HTML,XML,CSS,JavaScript,PHP等Web程式語言,由於之前接觸過並且掌握Java、Python等相關語言,我的學 習進展很快。

  返校之後,我立即產生了輟學的念頭,並且變得一發不可收拾。獨立開發一個網站,是我一直以來的心願。

  看著課堂上畫出來的精美的互動稿,我常常感到十分滿足,彷彿在不經意間看到了未來。

  於是我請假,然後在家裡反省了一週。經過父母的苦苦勸說,最終我又回到了學校。

  這次我租住在校外,一邊開發網站,一邊學校讀書。用我爸的話來說:兩頭兼顧。

  這種情況一直持續到高二下學期,期間我保持了相對不錯的學習成績。但是網站方面卻遲遲沒有進展。隨著各種新奇想法的湧入,網站結構變得愈發複雜,整體佈局也已經遠遠超出最初的設想,龐大的架構僅憑我一人之力難以完成,繁重的開發工作也總是讓我精疲力竭。

  到了高三暑假,我對Web技術的研究接連取得若干重大突破,並且證實之前大膽的設想可以被實現。但我知道,這還遠遠不夠。對於某些企業來說,新奇的點子、獨到的創意,就像是長在路邊的野花,而他們則是過往的遊人,或者採花賊。

  於是我決定減少學習和休息時間,以開發網站為主要任務。開學之後,我便全身心的投入到網站的開發工作中,白天課間腦子裡想的都是各種各樣的點子。放學之後,下午7點到凌晨3點是我設計UI、敲程式碼的時間,長此以往,難免缺少睡眠,於是我逐漸養成了在課堂上保持坐姿睡覺的壞習慣。

  這種生活又持續了一個學期,談不上舒服,可我總是樂此不疲,終於也在不知不覺中徹底荒廢了學業。新年過後,正月十六,我意識到一個嚴重的問題。

  此時距離高考還有100多天,我似乎走到了人生的岔路口,陷入一個兩難的境地:要麼專心讀書,備戰高考;要麼放棄學業,專攻網站。

  有人說,網站你可以等到大學再搞,但是高考卻只有一次。的確,這話非常有道理。思想體悟和人生階段的不契合可能是我最大的不幸,也許是有幸,誰知道呢?我選擇了後者,因為我覺得人生當中最有活力最有創造力的時候就是當下,我不想把我最美好的青春浪費在我不喜歡的事情上,趁著年輕還有理想,我為什麼不去試一試呢?

  所以,開學之後我並未回去上課,而是獨居校外,專心研究網站和相關技術。我不敢回家,因為這一切只有我的父母大概知道。我不曉得應該怎麼跟其他人解釋,我也不想解釋,更怕看到他們責難的目光。

  然而時間不等人,你看,這一天來的是如此之快,明明在記憶中是那麼久。

  此時窗外豔陽高照,想必已是正午,我還沒有吃飯,因為心有不甘。況且泡麵真的不好吃,無論什麼牌子。

  又想起剛才早晨的時候了,我透過顯示器看到了公路上警車開道的車隊,心裡真是百味雜陳吶!恐怕人生的第一階段已經走到最後了,我想,但是太陽好像才剛剛升起。

  我不是非常在乎別人的看法,但是此時此刻,寒窗苦讀十二年,我想我必須給自己和家人一個交代。

  不能用學習成績證明自己,那我只好想想辦法另尋出路。

  也許創業對我來說是一個比較好的選擇,就像外面傳言的那樣。但是作為農民的孩子,家裡沒錢,創業哪有那麼簡單呢?

  我不可能再去冒險從事極客活動,畢竟前車之鑑,我的職業生涯曾給我帶來過相當沉重的經濟壓力以及心理上的負擔。更何況,極客、駭客、駭客,皆是一念之間,一旦沒有忍住誘惑,走上違法犯罪的道路……法網恢恢,疏而不漏。結局註定會非常悲慘。

  好在也不是沒有辦法。大概一年之前,我瞭解到天使投資,懂得了普通人也有機會創業。特別是在網際網路領域,創業初期拿到天使投資並非是一件遙不可及的事情。

  於是我一直在默默盤算著,產品,團隊,市場,壁壘……

  一年下來,雖然網站還沒能完成,但心中已經確立了完整的框架,擁有一個還算看得過去的DEMO。除了網站,期間也有很多意外收穫,其中更是憑藉以往的技術積累發明了幾項我認為足以轟動業界的技術。

  幾周前,我將其中一項關於“利用使用者的擊鍵特徵進行身份認證識別”的技術申請了發明專利,我認為此舉意義重大,該發明將有望替代目前業內主流的技術方案,即採用口令(密碼)作為使用者身份憑證的安全機制。

  首先宣告,截止2016年6月7日11時30分,我尚未看到任何相關類似文獻,如有雷同,實屬巧合。

  然而,對於擊鍵特徵的研究早已有之,近年來業內也有了許多的突破。但是,就好像霧裡看花,翻遍這兩年的相關文獻,也始終沒有找到我想要的東西。事實上,這也是今天我寫這封公開信的主要目的:向業內人士闡明我的觀點,並公開發明專利的部分內容。根據我的技術方案來看,使用擊鍵特徵充當身份憑證將是簡單可行的,在提升使用者體驗的同時,也有著不弱於口令機制的安全性。

  以下內容僅代表個人觀點。

  大言不慚的說,目前所有的擊鍵動力學研究,可能從根本方向上就是錯誤的。這種錯誤導致了在擊鍵動力學問世後的三十多年間,鮮有成熟的商業應用例項。

  請原諒我將是否商用作為擊鍵動力學研究方向上是否正誤的評判標準,但是在我看來某項技術研究了幾十年(1977-2016)還停留在實驗室階段,這樣的事實已經充分說明了一些問題。

  擊鍵動力學研究的具體進展這裡不再贅述,各位肯定比我更加清楚。我想說的是,根據我所掌握的資料來看,你們的研究好像陷入了某種誤區。

  我認為,單純依靠改進演算法來推進擊鍵特徵的大規模應用是行不通的,透過非侵入式的手段來被動採集使用者的擊鍵特徵然後進行分析配對的身份認證方法並不可取。

  理由如下(斜體字型摘自發明專利):

  1.擊鍵特徵作為一種行為特徵,難以量化,而且在實際應用中,這種行為特徵表現的並不十分穩定,容易受到使用者自身(如心理狀態)和各種外界因素(如輸入裝置)的干擾,這意味著演算法本身必定存在冗餘。

  2.大多數針對識別演算法的研究都依賴於實驗室苛刻的環境條件下采集的樣本,實用效果未知,缺乏實際意義。

  3.紙上談兵,過於侷限,很少有人研究如何將擊鍵特徵應用到計算機系統,沒有一個完整的技術方案。

  4.商用需要考慮諸多因素,比如成本。很多擊鍵特徵的預處理演算法和識別演算法非常耗時,需要佔用較多的計算資源。大規模並行訪問下,將可能極大增加系統性能開銷。

  5.擊鍵特徵非常容易採集,這是它的`優點也是缺點。不能輕易改變,意味著難以應對隱私威脅。這幾乎是所有生物特徵的共性。但對於擊鍵特徵來說,採集過程是非常簡單的,只需要監聽鍵盤事件即可。Tey等人研究了使用計算機模擬使用者擊鍵特徵的可行性,他們發現如果有足夠的使用者擊鍵特徵資料,計算機可以透過演算法模擬該使用者的擊鍵特徵,而且現有的擊鍵特徵分析模型將無法分辨這些由計算機模擬的擊鍵特徵。

  6.可靠性難以驗證,很難直觀的感受其安全性。這一點對於擊鍵特徵的推廣十分不利。

  由此可見,雖然近幾年的擊鍵動力學研究在各種識別演算法上取得了長足的進步,但距離擊鍵特徵的大規模商業應用似乎還有很長的一段距離。而且,按照現在的趨勢發展,不難想象,在可預見的未來,即使擊鍵特徵作為一種生物特徵得到應用,那麼應該也只能作為一種輔助的手段,比如附加在使用者名稱和口令之上,可以增強安全效能,擴充套件現有的機制。這種做法極大程度上削弱了擊鍵特徵作為一種生物特徵的優勢,並且技術複雜、缺乏實用價值。

  理想的做法是,使用者登入,只需輸入使用者名稱即可。擊鍵特徵完全可以由使用者鍵入使用者名稱得到體現。

  為此,請大膽設想,如果使用者的擊鍵特徵是可控的,我們可以在短時間內使用某種方法改變使用者的擊鍵特徵,那麼以上問題是否將迎刃而解了呢?

  本發明提出了一種全新的思路,即:使用某種方法約束使用者的擊鍵行為,從而影響其擊鍵特徵的表達,並使之呈現的擊鍵形態符合某種需要,而不只是針對擊鍵特徵進行被動的採集和辨識。

  以上是我發明專利的核心理念。在經過大量實驗之後,我又得出以下結論:

  擊鍵特徵作為一種行為特徵,不是可以獨立存在的實體,一般只能體現在使用者的擊鍵行為中。但是,使用者發生擊鍵行為,並不一定包含擊鍵特徵,存在擊鍵特徵的擊鍵行為是使用者擊鍵特徵的表達。也就是說:

  1.擊鍵行為和擊鍵特徵是兩個相互聯絡而又彼此獨立的個體,擊鍵特徵的存在決定了與之對應擊鍵行為的相對特殊地位,擊鍵行為的發生是擊鍵特徵存在的先決條件。

  2.擊鍵特徵不能被直接改變,但是透過約束使用者的擊鍵行為可以間接影響其擊鍵特徵的表達。

  其次是大致的做法:

  ……所以,本發明從主觀意識和目標文字入手,輔以擊鍵姿態,透過相關流程,利用使用者本身的擊鍵習慣,對其擊鍵形態進行全方位的調控。

  需要注意的是,改變擊鍵形態的目的是為了使其符合某種需要,而且這一過程並非一蹴而就。這意味著大多數情況下,這將是一個有計劃的、系統性的工程,需要精心規劃、有序推進、穩步實施。對於可能出現的問題,需要提前做好應對措施。

  然後是具體做法:

  ……本發明透過“限制條件”來改變使用者的擊鍵特徵,並且使其可以憑藉限制條件來保持擊鍵特徵。限制條件可以理解為使用者無意識的擊鍵行為和主觀意識干預後的擊鍵特徵之間的一座橋樑。

  本發明將限制條件傳達使用者,使用者主觀意識理解後使用限制條件約束無意識的擊鍵行為從而形成某種擊鍵特徵。後續的每一次重複,使用者憑藉限制條件還原擊鍵行為,繼而達到改變和保持擊鍵特徵的目的。

  限制條件的定義:

  限制條件是指與使用者事先約定的、用來約束其擊鍵行為的系列規則。包括兩個部分:作用物件以及作用方法。

  不同型別的目標文字,限制條件的意義有所不同。

  對於固定文字來說,作用物件通常是指其中字元或字元間隔所處的位置;作用方法是指對其中字元或字元間隔所做的特殊按鍵操作。

  對於自由文字來說,作用物件通常是指某個按鍵的位置或者特殊片段所在位置。作用方法是指對此按鍵的按鍵動作或者特殊片段的一系列按鍵操作。

  再然後:

  ……在這種情況之下,除了擊鍵特徵這種生物特徵以外,限制條件作用的擊鍵行為也可以視為身份憑證,而後擊鍵行為又反過來影響擊鍵特徵的表達,最終表現出來的擊鍵形態是它們共同作用的結果。

  簡單來說,本發明對於擊鍵特徵的應用,是將其與限制條件相結合,使最終的擊鍵形態符合某種要求。

  簡單的舉個例子:

  這是某一使用者多次鍵入同一字串的擊鍵持續時間:

  引入限制條件,使用者練習5分鐘後:

  由於擊鍵特徵的存在,即使限制條件洩露:

  這種方法的安全性非常直觀:

  ……一般從兩個方向上進行評估:使用者重複鍵入目標文字,其擊鍵行為是否將限制條件的要求準確執行,其誤差是否收斂到某一閾值;從最終擊鍵形態評估安全效能,公式如下。

  致公眾以及擊鍵動力學領域專家學者的公開信

  致公眾以及擊鍵動力學領域專家學者的公開信

  其中,Q表示安全效能的量化數值,越大越好。每一個大括號代表一個限制條件,這裡有m個限制條件。引數MAX1指第一個限制條件的最大化可執行程度;引數MIN1指第一個限制條件的最小化可執行程度;引數MAX2指第二個限制條件的最大化可執行程度;引數MIN2指第二個限制條件的最小化可執行程度,以此類推。引數ns表示第s個限制條件中的可作用物件個數。Hks表示第s個限制條件中的第k個可作用物件上擊鍵行為的誤差。引數Zks表示第s個限制條件中的第k個可作用物件的安全係數,安全係數由經驗得到,越大則允許的誤差越小,Q就越小。根號中的內容表示每一個可作用物件上擊鍵行為的標準差,其中引數qks表示地s個限制條件中第k個可作用物件上擊鍵行為的標準差的指數,該值由經驗得到,一般位於1到2之間,建議的值是1.35。xiks 表示第s個限制條件中的第k個作用物件的第i次擊鍵行為的值,如持續時間、間隔時間、壓力等等,tks表示第s個限制條件中第k個可作用物件的擊鍵行為次數,μks為第s個限制條件中的第k個可作用物件上的擊鍵行為的平均值。

  以上。

  言盡於此,我想各位或多或少已經明白了我想表達的意思。若有興趣,請關注近期公開的發明專利。若有不足之處,也請見諒。畢竟,作為一名中學生,我的學識十分有限。

  至此,本公開信已近尾聲。

  其實我原本想跟公眾說的是,目前單純的口令機制可能已經不再適用了,我們迫切需要一種更加安全的身份認證方法。我不再詳細的展開說下去,按照我的經驗來看,普通人設定的口令可能根本不堪一擊,無論長度如何。而且很多時候,駭客入侵根本不需要窮舉口令,只需要利用各種社工庫搜尋一下即可。

  我的人生因為一個密碼而改變,相信在不久的未來,我也會親手將它終結。

  另外,正如上文所說,本人正尋求一筆鉅額天使投資,而且要求可能比較過分,有意向的、感性的天使投資人,歡迎與我聯絡。我非常期待與您的會面,並且有信心打動你。本人除了該技術之外,還有一個配套的網站平臺,一個網站DEMO,一個身份認證領域的非營利性計劃,兩項其他技術,七個有潛在價值的域名以及若干個idea(笑)。兩項技術的其中一項的發明專利正在起草中,另一項技術有關搜尋引擎。關於搜尋引擎的技術,原理很簡單:提供通用的語言和框架、利用使用者的檢索行為來編制索引。這需要駐入一批高階使用者,如果現實問題能夠解決,我個人認為有望重新定義搜尋引擎。

  然後,在網際網路和影視製作(音樂、影片、廣告策劃)領域有足夠造詣並且心懷理想的小夥伴們,非常期待你們可以加入我的團隊,雖然此時團隊裡沒有什麼人,但未來是要靠我們共同創造的,不是麼?

  最後,此時天已漸黑,我還沒有吃飯呢。我不確定你們何時能夠看到這封信,但請相信,這是一名即將走上社會的高三學子此時此刻最真實的內心獨白。我不知道未來會是怎樣,管他呢,時間會證明一切。但願我不只是你們飯後閒談的笑點。

  好吧,今天就這樣,感謝各位捧場。最後的最後,引用一首詩來結束我的學習生涯吧!

  所有的結局都已寫好,

  所有的淚水都已啟程。

  卻忽然忘了是怎麼樣的一個開始,

  在那個古老的、不再回來的夏日。

  我是戴燾強,年輕且任性。

  謝謝!

  一名高中畢業生、網站站長,戴燾強

  2016年6月7日

最近訪問