曾经的习武少年,如今的锦佰安CEO:他立志要开启身份认证的无密时代
【数据猿导读】 未来的身份认证,不再需要密码。
记者 | 小北
官网 | www.datayuan.cn
微信公众号ID | datayuancn
眼前的风宁,与记者想象中不太一样。
少林寺习武、黑客,这样标签下的风宁,却没有想象中的炫酷与威猛。
相反,中等的身材、黝黑的脸庞、谦逊的眼神,温和的语声,现为锦佰安CEO的风宁,浑身透着一股独特的气质:谦卑中带着自信,轻柔中带着刚强。
风宁出身于千年古都、牡丹花城——洛阳。初中毕业后,他没有继续上学。因家距少林寺近,便入寺习武。
在此期间,小小习武少年训练之余喜欢上了打游戏,而更让他兴趣有加的是那个承载游戏的大块头——计算机。
所以,当看到旁边的学校开办计算机补习班的时候,他毫不犹豫地报了名。“21世纪必备的生存技能就是外语+计算机,这是当时很流行的一个观点。”
基于必备生存技能选择了计算机,而痴迷于网络安全,是上课时老师说的一句话:“世界上研究计算机最顶尖一帮人就是非常熟悉Unix、非常精通黑科技的。”在计算机刚刚兴起的1998年,这句话超出了当时小小习武少年的认知,这种对未知的好奇心,成为了他踏入网络安全行业、专注研究Unix安全的驱动力。
2000年,少林业毕。随后,风宁离开家乡,南下广州,同时对网络安全的痴迷未曾稍减。
是时候把这个当成自己的职业了。此后,他先在广州给政府机构和事业单位做外包项目,三年后又跑去深圳在企业做了三年的IT管理,2009年又到杭州给游戏公司做安全运维和技术。
直到2013年,当他与另外一名安全大牛张福在交流安全改进和应对方案时,两人碰撞出了思想的火花,2014年他们携手创立了青藤云安全,张福任CEO,风宁任首席安全官。
但不久后,因为理念的差异,风宁离开了。
“产品做出来以后,我个人更想在军工、政府等相关领域来落地,但张福更倾向于做纯在线的互联网模式。”
虽然此次创业没有成功,但创业的想法却在心里扎根。
2016年下半年,机会再次来临。 风宁在接触云厂商的过程中,发展他们都有一个急需解决的问题:弱口令所带来的账户安全隐患。具有多年网络安全经验的风宁立马意识到这个市场的广阔。 “身份认证一定会成为一个风口。时间不等人,我们快点做!” 就这样,2016年8月,锦佰安成立了。 成立两个月后,锦佰安便获得了苹果天使的种子投资。苹果天使专注于网络安全领域技术领先的创业公司,是这个领域最具权威性的投资机构。 在谈到为什么会吸引到苹果天使的投资时,风宁认真地告诉记者:“首先是我十五年的网络安全从业经历;第二是我也有过创业合伙人的参与经历,知道怎么样做一个创业公司;第三我们想做的事情填补了国内网络安全的空白领域,发展前景广阔。” 之后,随着人工智能、大数据的日益火爆,风宁认识到,基于人工智能、机器学习来解决安全问题是未来很大的空间和机会。 同时,他了解到国外已有此类产品的先行者——UnifyID。在2017年的RSA大会上,UnifyID的基于人工智能的身份认证产品一举夺得创新沙盒环节的冠军。RSA 被称为之“安全界的奥斯卡”,被公认为“安全技术创新和投资的风向标”。 一年的专注,2017年10月,SecID统一身份认证系统问世上线。 SecID通过手机传感器采集用户日常登录系统的操作行为和使用习惯,通过人工智能及大数据等技术,对使用人进行机器学习并建模,最终用模型与本人进行相似度的匹配,后台AI可以直接判定就是本人在做登录行为,直接放行。最终做到完全抛弃密码,只用输入手机号码或者凭证ID,在不改变用户操作习惯的情况下完成无感身份认证。 “打个比方,你是小区的业主,进出两三次之后,不管你是戴了眼镜还是没有戴,是穿了红色的衣服还是黑色的,你的车保安都不会拦了,因为他记住你了。而且如果有别人开了你的车来,他也能马上识别出。SecID就是这样,它记住你并且只认你,没有人能够冒充你。”
叁
在提及SecID的优势时,风宁自信满满:“我们做到了安全与便捷的完美结合。”
纵观当前的身份识别技术,都存在着一定的弊端:
一、固定的静态密码。这种方式适用范围最多,但缺点也是最多:弱口令、密码复用、撞库、钓鱼等高风险问题,而为了增加安全性,很多帐户密码必须同时包含大小写字母、特殊字符、数字等,大大增加了记忆的难度。
二、IC卡、U盾、密码器等硬件设备。这类设备需要随身携带,因此使用起来给用户增加不少麻烦,往往需要用的时候才发现不在身边。对于企业而言,各种硬件设备也是一笔不小的开支。
三、依靠各种短信验证码及一次性口令等方式来提高账号安全度和身份识别度。但即便短信中提示这是“打死也不能告诉别人”的验证码,也会由于这类验证码的时间限制,导致很容易被劫持,从而造成账号、密码泄露。目前,Google、iClould、华为等厂商已经使用移动应用二步认证方案取代短信验证码。
四、指纹识别与人脸识别。你的指纹到处都是,很容易被别有用心的人获取。前段时间,有人曝出了可以用一卷胶带就可以破解TouchID。除此之外,一旦指纹被破解,你没有办法改变自己的指纹。而人脸识别会因为人脸的细微变化而降低识别率,例如剃了胡子、换了发型、多了眼镜、变了表情等都有可能引起比对失败。
而SecID无需强口令、无需硬件设备、无需你的指纹,而是靠采集你日常登录系统的行为数据。
“当我们对用户打字时击键的方式、间隔以及输入的内容来进行规律分析时,我们发现了一个震惊的消息,每个人都有自己独特的打字方式。”这是Unify ID的创始人约翰在他们的官方博客上写着的话。
“每个人的行为数据都是独一无二的,他人无法复制模仿。所以你不必在意密码是什么,因为那不重要,SecID只认你。”风宁告诉记者。“更重要的,在这个过程中,你不需要改变你原来的操作习惯,不需要伸出手指去按指纹,不需要把你的脸塞进镜头里——一切都是在你无感知的情况下完成的。”
在不改变用户操作习惯的前提下保证安全,这便是SecID的最大优势。
而对于SecID的前景,风宁表示信心满满:“我们的产品会比国内市场上的同类型产品有超过半年的领先期,现在很多做身份认证的还停留在二次认证,证书,动态口令这一步,我们现在做的是基于AI、机器学习来做行为识别的无密码输入,相当于领先了一代。”
在近日云安全联盟(CSA)发布的12大顶级云安全威胁中,身份识别问题高居第二位。毫无疑问,身份识别市场拥有巨大的前景。据Forrester的数据显示,预计到2021年,全球身份认证与访问管理市场将增长到133亿美元。
面对这样一个巨大的舞台,风宁在最后表现出了他豪爽的一面:“SecID已加入FIDO线上快速身份验证联盟,与世界一流企业共同建立统一的安全技术标准。2018年我们蓄势待发,向身份认证的无密时代前进!”(文/小北)