#DisruptNY15# Cloudwear:通过手机定位保证网络账户登录的安全性

下一篇文章

#DisruptNY15# Bitfusion:帮助开发者压榨现有硬件性能,提高应用运行速度

Cloudwear 开发了一种保证网络账户登录安全的新方法,今天这家公司在纽约的 TechCrunch Disrupt 大会上登台演示并正式启动。Cloudwear 的团队成员曾帮助哈佛大学、麻省理工学院以及美国国防部开发过云应用。Cloudwear 系统可以让企业更好地判断用户的位置,然后根据这一信息禁止或授权其访问。

该系统可以配合传统的双因素认证机制运作,也可以在不提供双因素认证机制或未启用双因素认证机制的情况下确保账户安全。后者的好处在于,如今许多用户嫌更加安全的双因素技术使用起来过于繁琐。通常会有某种代码发送到用户的手机上,用户在网站上输入用户名和密码后再输入这个代码才能登录。尽管这样做更加安全,但也拖慢了整个登录流程。

然而,假如抛弃了这一层额外安全机制的话,如今许多的用户账户对于黑客而言可谓是畅通无阻。这一问题正是 Cloudwear 致力于解决的。

这家创业公司成立于约一年半前,如今团队成员不到十人,地点位于圣莫尼卡。创始人包括埃文·坦恩(Evan Tann),他曾从事人工智能与机器人方面的项目,并为 Telefónica、三星、通用等大公司以及麻省理工学院和哈佛大学开发过多个软件项目;还有温德尔·布朗(Wendell Brown),他是 LiveOps 和 eVoice 的联合创始人。

该团队表示,如今所有黑客行为中 98%来自美国以外地区,这一结论是 Cloudwear 根据约 10000 起黑客事件分析得出的。如果企业能够精确检测出用户尝试登录所在地区的话,他们就有办法快速标记出那些很可能是非本人登录的行为。毕竟,一直用自己办公室或者自己家里的美国 IP 登录的人不太可能突然从中国的某个地方登录。

虽然某些网络系统(如 Gmail)会在监测到有远方计算机进行可疑登录尝试时提醒用户,但是大部分熟练黑客都知道如何使用 VPN 来隐藏自己的真实位置。

坦恩解释道,这套系统的想法源于他们之前开发的另一个项目,当时他们正在为怎样才能最好地保护数据并找出请求来源位置而绞尽脑汁。

“我们开始寻找市面上的解决方案,但没能找到有效的办法。如果你用 VPN 登录的话,我们就无法看到你来自世界的哪个角落,”坦恩说道,“这很困难,我们没法找到解决这个问题的办法。”

于是 Cloudwear 开发了一种用于定位可疑用户的技术,并非根据用户登录网络服务的计算机 IP,而是根据用户手机的位置。通过嵌入企业自家应用(或者嵌入 Cloudwear 提供的应用)的移动 SDK,企业能够悄无声息地 ping 通用户的手机并询问当前位置。

换句话说,确定手机当前位置的过程实际上对于终端用户而言是隐形的。

这一过程是得到用户同意的,不过在应用首次安装在手机上并启动之后就不需要用户进行任何操作了。只要该应用中用户处于登录状态,Cloudwear 系统就能在后台通过静默推送通知询问到手机当前所在的位置。

换句话说,确定手机当前位置的过程实际上对于终端用户而言是隐形的。

之后,假如某个尝试登录行为貌似可疑的话,使用 Cloudwear 系统的企业就能决定下一步如何处理。即使黑客隐藏了自己真实的海外位置,他们伪装的 IP 地址也不太可能和用户智能手机的实际位置恰好一致。随后企业可以要求用户完成额外几步流程验明正身,或者直接拦截掉这一可疑登录行为。

这套系统的工作机制使得它不仅适用于面向消费者的网络服务,还适用于企业内部系统。Cloudwear 表示,其试用客户中有不少是托管了极具价值、极为隐私数据的企业,比如医疗、保险、金融和科技行业内的一些公司。

另外有趣的是,企业还能通过这套系统将允许登录范围限制在指定地理区域内——正如他们今天在 Disrupt NY 大会上演示的那样,用户在尝试登陆 SpaceX 公司(Cloudwear 团队中一些人正是来自 SpaceX)内部系统时可能会被地图访问白名单拦截。

该公司目前正在对产品进行测试,这一产品已经集成在 Azure Active Directory 以及不少大型科技、保险公司的内部系统中,目前正通过其官方网站接收其他有意单位的请求。该服务的收费政策尚未确定,不过该公司证实,其初始客户已经在付费使用。

虽然没有哪个系统对黑客是完全免疫的(当然,有时候判断手机位置也不是确保登录安全的有效手段),但即便某家公司不愿意放弃保证网络账户安全访问的更为传统的解决方案的话,Cloudwear 系统至少也可以作为双因素之上的额外一层安全机制运行。

Cloudwear 完成了不到 50 万美元的天使融资,目前正在进行种子轮融资。

翻译:顾秋实

CloudwearIntroduces A New Way To Secure Online Accounts

blog comments powered by Disqus