上一版
缩小
全文复制
近年来,近场通讯(NFC)技术的流行使得手机被越来越多地作为网上交易支付平台,这也带来了新问题:在人满为患人的大街上,我们要用手机输入密码完成一项交易。周围有那么多双眼睛,让人不由心里犯嘀咕:这安全吗?这就像我们在自动取款机上操作的经历——时不时看看后面有没有人在盯着自己。这便是在移动设备上输入密码的不便之处:不但要防范黑客,还要防范偷窥者。如何解决这个问题呢?
网上交易,“信任区”保安全
智能手机带来了方便,也带来了病毒。随着手机PIN码(SIM卡的个人识别密码,用来保护自己的SIM卡不被他人使用)、网上银行支付密码被盗的案例越来越多,很多用户都对利用手机键盘输入密码抱一种不信任的态度,害怕被人偷窥或是窃取。
为了保障安全,银行、手机生产商各出奇招:西班牙一家银行要求用户只能在销售点的终端键盘上输入密码;法国多家银行在支付密码外增设了密码保护问题;南非联合银行为用户网上支付另外提供了一张微安全数码卡;还有一些银行更是省事,禁止在手机上进行大额交易。
没密码不行,有密码也不行,这怎么办呢?目前一种比较通行的解决方案为建立“可信执行环境”(TEE),简单地说,这种环境是通过特别设计的硬件与软件在手机处理器上构建出来的,拥有密匙、证书等多种保密措施,能保护密码入口,阻止黑客查看手机屏幕上显示的交易数据。建好TEE后,就算你获得了用户的交易密码,如果不用特定的手机操作,就无法进行交易。TEE还可能促进其他领域的安全应用,如公司虚拟专用网络(VPN)的安全获取,游戏或音乐的数字版权管理。
但一个新问题是,手机交易安全虽受到一定重视,但没有一个机构推出一个统一的安全标准。各个手机生产者和系统设计者各自为政,推出了不同的安全标准,不仅给用户带来麻烦,也让黑客有机可乘。
目前手机上的大多数TEE使用的都是由英国芯片设计公司安谋国际科技提供的名为TrustZone的安全区。TrustZone绑定了多个不同的流行的手机操作系统,如黑莓操作系统与安卓。多家手机处理器芯片制造商以及至少两家软件平台供应商也在使用TrustZone。随着网上交易量的持续增长,相信TrustZone或其他类似的安全环境会得到更多的重视。
触屏输入,看不见摸得着
TEE是一种标准化的解决方案,也有一些研究机构另辟蹊径,解决了偷窥者带来的麻烦。韩国科技高级研究院的安德烈·比安奇带领的团队开发了一套触觉输入系统,让不怀好意者偷“看”无望。
“我们团队探索了两种主要方法。一种方法是靠触觉感知密码,而非用眼看,我们称它为PhoneLock,手机触摸屏上的字母键被一组10个不同的触觉图标(称为tactons)所替代。操作它们等同于操作物理键。”比安奇团队的一位成员伊恩·奥克雷表示。触标之间很容易区分,它们被对应放于一个个圆圈中,当用户的手指放在屏幕时,震动电机会根据触标产生震动。用户只要记住他们感觉到的震动顺序,就可以通过触按圈中的图标进行密码输入了。
另一种方法叫SpinLock,它工作起来很像以前老式组合保险箱的对号盘,用户的手指朝一个方向滑动直至找到正确的数字,这样的输入方法也能避免密码被轻易偷窥。
