Google欲殺密碼　下月測試多重感應　稱「更勝指紋認證」

現代都巿人開設多個網上帳戶，隨時要牢記數十組用戶名稱及密碼，可謂相當麻煩。科技巨企Google公布，準備測試全新認證方法，最終目標是用家毋須輸入密碼，改以智能裝置上的感應器擷取多組生物特徵，辨認是否裝置或服務的「真主人」。Google形容倘若成事，認證結果比只用指紋認證安全逾10倍。

大型金融機構率先測試

Google旗下的「先進科技計劃團隊」（Advanced Technology and Projects group，ATAP）主管考夫曼（Daniel Kaufman）在該公司的年度開發者大會（I/O conference）上介紹名為Trust API的認證系統，並指出將於下月在「數家大型金融機構」測試。

鑑別臉部人聲手勢

據Google透露，Trust API的運作原理為混合使用多項過往公認「較弱」的認證指標，而非單獨一種「超強」驗證方式，取代沿用多年的密碼認證概念。

Trust API可以感應多個較易提供的生物特徵，例如臉部識別、人聲鑑別，亦將嘗試向較「高難度」的指標進發——移動習慣、打字習慣、觸控屏幕的「手勢」等。用家使用智能裝置時，Trust API將於背景持續運作，不斷接收以上行為指標以作分析。

事實上按過往經驗，單單以的上述任何一種認證方式絕不安全，就連臉部識別亦不例外。不過據Google介紹，集合各種「較弱」認證方式的結果，可以較指紋認證安全超過10倍。

今次Google開發的Trust API系統，與密碼等傳統保安措施的概念有很大分別。使用者輸入密碼只有對與錯，結果直接決定是否可以使用裝置或服務。不過Trust API的認證結果不是「對與錯」，而是得出一個「分數」，並可按個別服務所需的安全程度，調整「及格分數」。例如銀行系統等重要服務平台，可要求用家提供更多生物特徵，甚至要配合傳統密碼方式，方會「放人」進入系統。

Trust API服務將開放予第三方測試，容許其他機構的保安系統使用。初期首先供使用Android智能裝置的銀行客戶作測試，Google稱其他保安系統開發者將可於今年底陸續參與。

正在研發同類保安技術的科技公司並非只得Google，總部設於倫敦的Nok Nok Labs亦有相似的建議，設立一個「信任網絡」（network of trust）。

認證管理公司Gigya的銷售總監拉克（Richard Lack）分析：「將來認證不再需要密碼，方便消費者之餘，也可提升保安水平。」他認為Google的方向將有可觀回報，指出歐洲互聯網使用者平均設立約100組密碼，感到相當困擾。拉克又稱網上帳戶登記過程變成極差的體驗。

「生物認證是強大的工具，不但更安全，也可促進生意登記用戶數字、蒐集數據、分析用家習慣。」拉克又形容，密碼的「喪鐘」將比預期更早響起。

（衛報／Mashable）