研究表明，在线打字习惯将暴露你的身份

网络安全研究人员已经掌握了一种长期以来只存在于理论当中的用户身份识别技术，该技术具有很强的实用性，在遭遇网络远程攻击时可以让那些使用 Tor(译者注：洋葱浏览器，一种可以匿名浏览网络的工具，可以为网络流量三重加密，将用户流量在世界各地的电脑终端里跳跃传递，很难追踪其来源)的用户以及任何想要在网上掩饰自己身份的人都无所遁形。

　　当网站用户输入用户名、密码以及键入其他信息时，这种技术将收集用户的击键特征。通常在经过不到 10 分钟的「学习」之后，该技术就可以识别出在网络的另一端持续进行打字输入的人是否是同一个个体，这种由技术得出的个体识别结果有着高度的确定性。这种身份识别技术发挥作用的关键在于获得并分析了来自计算机键盘传递的信息。对于每一个人来说，在打字时其手指在按键之间的短暂间隔以及按下每一个按键的精确时间长度都是独一无二的，这种身份识别技术可以将用户的打字习惯当成一种数字指纹，并用以确认身份。

　　如果这种识别技术在网站数据库之中广泛使用，那么网站就能够根据不同用户的打字习惯差异进行身份识别。这种技术的发展令人不安，Per Thorsheim 以及 Paul Moore 这两位研究者已经开发出了一种 Chrome 浏览器插件，用以应对这种身份泄露的威胁。这种插件可以捕捉到用户的键盘输入方式，当将这些输入信息传递到网站时，该插件可以通过一个简单的延迟并使用伪造的随机输入规律替换原有输入方式。插件开发者 Thorsheim 是一位网络安全专家，而 Moore 是一位信息安全顾问，他们认为这种通过打字识别身份的技术是一种对于网络固有的匿名性的伤害，因此才想到要开发出这种保卫网络匿名性的插件。

　　让隐形人无所遁形

　　如果仅仅是一家网站收集你的这些在线打字使用习惯信息，那么你所面临的风险可能并不大，」网络安全研究者 Runa Sandvik 曾经参与了开发 Tor 的过程，「真正的威胁来源于这种行为识别技术可能会被同一家公司或组织所拥有的多个网站使用。这种行为会伤害网络匿名性并且使得用户面临隐私暴露的风险，这些网站能够跟踪收集用户键盘输入行为，获取用户在网页中的所作所为，并且将其分析结果与你在另一网页中的操作行为进行比较，这样就能够识别出你的身份，至于你在上这两个网站时使用的是哪一种 IP 地址，都不会影响其确认的结果。

　　Sandvik 表示她曾经使用了升级过后的 Tor 浏览器访问了一个采用了打字识别技术的测试网站，这个网站能够通过她独特的打字习惯刻画出她的用户身份。无论使用这种打字习惯识别技术是出于网站运行者自身的心怀不轨，又或是为了与当局监管者进行配合，那些试图对抗 Tor 这个匿名浏览器的诸多网站能够使用相似的身份识别脚本跟踪来自公开网络或者隐藏了 IP 的暗网(译者注：暗网即无法被搜索引擎收录内容的站点)用户。Tor 浏览器限制了这些网站中运行的大量 Java 脚本，Sandvik 想使用这种方法看看是否能阻止类似网站的身份识别过程。当这些 Java 脚本不能工作时，果然身份识别技术也将被锁定。不过虽然锁定网站的 Java 脚本是行之有效的，但是这种方法可能仍然阻止不了身份识别技术的侵入，因为该技术最终会找出使用 Java 脚本之外用于衡量用户敲击键盘习惯的方法。

　　收集用户独特的击键特征是一种典型的行为生物学识别的案例，这种方法就是将监测一个人的所作所为，比如通过收集个体说话、走路、打字的习惯并用于分析。据 Thorsheim 与 Moore 介绍，到目前为止，已经有很多银行网站都使用了击键特征身份识别技术去作为登录网站用户的一种额外身份验证。从理论上说，这种做法可以帮助银行网站去检测到意图劫持、盗取用户账户的行为，即使冒充用户的不法分子使用了正确的用户名与密码登入网站，也逃不过身份识别技术的法眼。鉴于这种行为生物学识别技术也可能用于正当且有利于保护用户利益的地方，Thorsheim 与 Moore 开发的这种 Chrome浏览器插件也可以将特定的网站加入白名单之中。

　　老实说生物行为识别并不是什么全新领域，有据可证棱镜门中的主角斯洛登从 2007 年开始就使用了类似技术，人们早就意识到了使用生物行为识别技术可以确认出那些隐于键盘之后的操作者的身份。如果你在图书馆中进行相关检索，将会发现海量的研究论文向你展示了如何进行网络用户身份识别，以及如何解决 Tor 浏览器带来的匿名问题。不过话说回来，如果银行网站和其他网站能够使用这种技术去描绘出一个可靠又精准的用户身份，有理由相信各国政府也会使用同样的技术去监视网络使用者。

　　有越来越多的网站会在你匿名浏览时收集分析你的在线击键特征作为身份识别的参考，当你在使用其他网站时他们就可以使用相同技术将你识别出来。Thorsheim 在他的一篇博文中写道，你喜爱那些政府机构不仅会建立自己的官网，还会在暗网之中设置虚假页面，用以识别那些在两个网络之中穿行的人们的身份。对于威权政府来说，这种做法将带来极大的收益。