Sound-Proof:让密码更安全

双重认证比仅用密码要安全得多，而且貌似你所有的账户都可以这样做。但是这种方式最大的问题在哪儿？麻烦。每次登陆账户，都要拿出手机、解锁、查看验证码、输入验证码。而且，你要是验证码输慢了，它就变了，又得重新输。这样登个账户也太费事儿了，所以很多人干脆不用。

不过别担心，瑞士联邦理工学院的研究员们有新花样，让双重认证不再头痛。他们发明了Sound-Proof软件，并且将在下周四Usenix安全会议上公开相关论文研究成果。

Sound- Proof具体怎么起作用呢? 在你登录使用了这一技术的站点时，服务器会尝试与你手机上的对应应用进行连接，然后手机和电脑浏览器会同时录下周围的声音。基于这短短几秒的声 音，Sound-Proof会创建一个数字签名并上传到服务器中，服务器对比电脑和手机的数字签名，如果符合，则可成功在电脑上登入。这样，是不是省了拿 出手机解锁的麻烦？而且录音也是自动的，整个过程需要的只是周围各种各样的声响，仅此而已。

听 起来这有点像Shazam和微信中的音乐识别，只不过它识别的是不同歌曲的声音，目的是判断演奏场所。但论文合著作者Claudio Marforio不这么认为，他表示这两者的内在运算法则截然不同。“我们起初也尝试用Shazam的方法，但是结果很不理想，因为两者的应用情况根本不 一样。”

为了用户隐私，Sound-Proof并不上传声音本身，而是上传数字签名。而且，为了节省电量，它只有在接到服务器录音的命令才会开始录制声音。

论文实用性研究结果还表明，与双重认证相比，参与调查的绝大多数人都更倾向于使用声音认证方式。原因之一是，Sound-Proof只需安装在手机上即可，电脑上不必安装任何插件。而像Authy此类的公司早已发明了蓝牙传输数据的认证方式，也很简单省事。

当 然Sound-Proof也有缺点，最最令人担忧的是，假设有人跟你在同一个房间，周围环境一样，并且很不幸的是他知道你的密码，这样他就能通过验证，登 入你的账户了。也可能，有人和你看的电视或听的广播一样，这样也可能蒙骗Sound-Proof。当然，研究人员表示，以上事件发生的可能性很小很小。

目前为止，Sound-Proof还尚在研究阶段，但Marforio却很自信，“虽然想法还处于初级阶段，但我们一直致力于提高该应用系统的整体性能和登录速度，使其能更好地对比两种声音样本，进一步提高准确度”。

雷锋网认为，目前看来“双重认证”也挺好的，并不算特别麻烦。况且，Sound-Proof目前还不支持在他人电脑上登陆，这也很不方便，但这个点子确实很赞。