想腾讯QQ处理盗号都是通过很龌龊的驱动的之类的截获键盘输入,从而防止盗号记录键盘之类的木马,IBM这一期的DeveloperWorks发表了一篇很新颖的文章:通过击键力学判断输入密码的是否是原始用户。
http://www.ibm.com/developerworks/cn/opensource/os-keystroke/index.html
忽略输入的具体数据,仅测量输入总时间并检验击键之间的间隔时间有助于对用户进行身份验证。在密码中使用不可打印的字符(例如后退和回车)可以实现更高级别的密码模糊度(password obfuscation)。了解如何在击键力学中应用开源工具 xev 和 Perl 来测量更微妙的人机交互特性。
指尖上的螺纹和脊状纹路可以根据您触摸的物体来识别您。触摸方法,尤其是键入方法,同行为一样具有惟一性。击键力学是一个相对较新的领域,这项技术可以通过分析键入方式的统计信息来识别个人。许多商业产品通过分析密码输入的力度以及连续键入监视增强安全性。本文将使用示例代码来演示击键力学如何在验证及连续数据输入环境中增强应用程序安全性。
我觉得深有同感,每个人输入密码都是及其熟练的,那么这种熟练程度长期以来一定是固定的,那么我们可以根据密码输入的力度、时延等等特性做出统计分析,只有真正的用户输入正确的密码,以及正确的方式输入密码,符合统计规律,才能登入系统,呵呵
如果你不得不让他人登陆呢? 那不就挂了?
对安全高度要求的环境下还是很有必要的