PassWindow: 一个全新的Web网站验证过程

　　IT 顾问Matthew Walker发明了一种名为PassWindow的技术。这是一种可视化的验证系统，可以在用户登录网站时通过图案匹配的方式进行身份验证。

　　Walker的发明动机

　　8年前， Walker成为了网络信用卡欺诈的受害者，从那以后，他就决定研究一种系统能够避免类似的问题。在经历了三年的图案分析和研发后，他终于成功的研发出了用于PassWindow系统的核心技术。同时，他的研究还获得了多项专利。在所有研究都按部就班的完成后， Walker可以公开的谈论他的这项发明了。

　　在Walker先生向大家解释PassWindow是如何工作的时候，笔者很幸运的争取到了一次与他会谈的机会。在我们交流的时候，笔者一直觉得我好像在哪里见到过类似于PassWindow系统的东西，最后，终于想起来了。

　　笔者的电子表

　　PassWindow系统让笔者一下子想起了我那个数字显示不完整的破电子表。Walker对这套系统的解释是：

　　“手持一张印有特殊字符片段的透明卡片，将其贴在屏幕所给出的验证码片段上，会形成一个新的完整密码。每次进行验证，都会有不同的验证码生成。”

　　下图就是PassWindow 卡片与屏幕上的验证码片段重叠后的样子，从图上我们可以看到，新的验证码是9258。

　　软件和卡片

　　PassWindow系统由三部分组成：

　　· Key-pattern generator:这是在Web服务器上安装的程序，用来生成针对每个用户的唯一的验证码片段，并发送给用户

　　· Challenge-pattern generator: 着同样是安装在web服务器上的软件，当用户需要进行验证时，它会生成一个动态的验证码片段，用来与用户手中的密码片段重叠使用。

　　· Pattern card: 一般采用塑料卡片形式，其上有一个透明区域，印制有由Key-pattern generator生成的用户唯一的验证码片段。

　　PassWindow是如何工作的

　　要解释PassWindow是如何工作的，最好的办法就是举个例子。美国现在已经进入秋季了，而刚刚高中毕业的Sue也开始了她的大学生活。Sue在大学的服务器上为自己申请了一个私人网站空间，服务器分配给Sue一个用户名和对应的密码，同时她还申请了大学的身份验证卡。

　　这个身份验证卡和普通的ID卡一样，带有磁条和浮雕信息，唯一不同的是，卡片有一个透明窗口，上面包含了Sue的PassWindow系统专用密码图案(由Key-pattern generator生成)。

　　Sue回到家后，希望确认一下她的课程安排和打工时间不会有冲突。让我们看看Sue该如何通过PassWindow系统进入学校网站：

　　· Sue进入大学网站，输入自己刚申请的用户名和密码。

　　· Web服务器核对了用户名/密码的组合，请求challenge-pattern generator创建一个一次性的登录验证码。

　　· 这个验证图案发送到Sue的浏览器上，并在显著位置显示出来。

　　· Sue 拿出从学校申请的ID卡，将其覆盖在电脑屏幕上，让透明小窗与屏幕上的验证码叠加，组成完整的验证码。

　　· Sue在登录窗口中键入刚刚获得的完整的验证码，登录网站。

　　下图是Matthew Walker给出的Sue登录学校网站的图示。

　　PassWindow的优势

　　PassWindow是一个真正意义的多维验证系统，利用了“所知晓”以及“所拥有”这两个因素进行验证。我将其与SecureID 令牌进行比较，发现PassWindow使用起来更简单，造价也更低廉，同时还具有很好的便携性。Walker列出了20 余项PassWindow 超越其它验证系统的优势，我从中摘抄了部分最明显的优势：

　　· 使用时间无限制，不需要电池供电。

　　· 没有昂贵的专用电子硬件，也没有电子产品所附带的各种安全漏洞。

　　· 与基于短信息的验证方式不同，PassWindow通过SSL直接连接到客户端，而不是通过不安全的第三方通讯网络(GSM网络传输很容易被破解)

　　· 防止网络钓鱼，如果在给客户的电子邮件中加入验证图片，客户只需要用PassWindow卡片配合就可以知道这封邮件的真正来源。而网络钓鱼者们很难制造出合法的验证码图片。

　　一些疑问

　　在访谈过程中，笔者将自己的一些疑问告诉了Walker，从而更好的理解了这种技术：

　　1. 制作卡片需要特殊的打印设备吗?墨水的稳定性怎么样?

　　“一般来说， PassWindow 将与现有的卡片打印系统兼容，使用500至5000美元的普通卡片印制设备就可以了。不过，如果对成本控制要求更高，那么也可以用普通打印机将其打印在透明纸上再贴到更结实一点的透明卡片上，或者直接贴在屏幕一角。”

　　2. 用户如何启动最初的认证机制呢?是在网站上输入用户名吗?你的网站上在这方面没有说清楚。

　　“是的，PassWindow系统是与现有的用户名和密码系统结合起来使用的，至少要提供用户名。设计之初我是希望它能与其他验证机制协同工作，但是单独工作也是可以的，毕竟用户都希望需要记忆的内容越少越好。”

　　3. 如果我的理解没有错的话，有了这套系统，就不会再担心肩窥(从别人身后偷看别人的密码)的问题了，因为每次生成的密码都是不同的，对吧?

　　“你说的没错，有了PassWindow，基本上就不会再出现肩窥的情况了。卡片和屏幕贴的很近，使得偷窥的视角的变得很小，偷窥者需要直接透过你的头部才能看到密码。

　　另外，图案卡上还带有一些小的灰色标记，这在PassWindow网站上有详细说明。这些标记很小，围绕在图案周围，当用户需要匹配屏幕上的密码时，它们就用来判断是用卡片的正面贴合屏幕，还是反面来贴合屏幕，或者上下翻转。这种灰色标记基本上很难被偷窥到。”

　　4. 对于键盘记录器以及截屏等盗取密码的方式，PassWindow有什么优势吗?

　　“除了是动态密码外，系统所给出的验证码图案是来自一个庞大的验证码图案库的。这意味着通过截屏软件或者键盘记录软件所获取的信息量，远远不足以让攻击者在短时间内破解出PassWindow卡片上的图案信息。而PassWindow卡片每年都会更新，因此用户不必担心黑客会破解卡片图案。”

　　实际应用

　　在澳大利亚的“新发明家”电视栏目上，Walker已经获得了群众选择奖。另外，Walker正在与包括CARDPro在内的多家信用卡厂商洽谈合作事项。

　　可以说PassWindow的应用前景广阔。Walker 透露，一个知名的小额信贷基金正在寻求与PassWindow合作, but on paper:

　　“一个为第三世界国家服务的小额信贷基金希望使用PassWindow系统帮助他们进行农村贷款者的贷款验证工作。在前期，贷款者只需要将PassWindow卡片贴在打印在纸上的验证码图案上，形成完整的验证码，并将其写在旁边寄回公司即可完成验证。

　　等到当地的互联网初步实现后，会将整个验证过程转移到互联网上进行。因为就目前状况来说，不论是成本还是实施条件来看，当地都不具备任何通过电子设备进行验证的条件。”

　　总 结

　　PassWindow给了笔者很多惊喜，不难想象，这种技术将给我们目前的网络安全来带多么大的好处。