文章来源 | thenewyorktimes

作者 | Stacy Cowley

编译 | Kristen

当你浏览一个页面时，鼠标光标突然消失了，也许是出现了故障，也有可能是网站精心设计的测试来收集你的用户习惯。

事实上，用户敲打电子显示屏、键盘的习惯和指纹、面部特征一样独一无二。而现在为了防止诈骗的发生，越来越多的银行和商家开始追踪用户使用网页和APP的习惯。

有些银行和商家只是为了避免自动式袭击和可疑交易，其余一部分则深谋远虑旨在通过收集成千上万用户的触摸或敲打设备的习惯来收集用户信息。

这种收集数据的方式是不可见的。通过消费者手机里的传感器和网页的上的编码，商家和银行可以收集数以千计的数据点——“生物行为特征“，来辨明屏幕前的消费者是否是账户真正的主人。

对于安全机构来讲，这项生物行为识别科技是强有力的保障。近期数据窃取事件频频发生，网络盗窃获得了数十亿密码和大量用户敏感信息，可能会对消费者银行账户造成风险。

ThreatMetrix创始人表示，身份识别是数字货币最后一道防火墙，而现在身份识别正在以工业化的规模来武装公司，很多商家都在使用或测试“生物行为特征”工具。

隐私机构认为，生物识别工具可以收集用户敲打键盘和电子屏的习惯，这损害了消费者隐私，存在一定风险。Electronic Frontier Foundation律师Jennifer Lynch表示，根据科技行业内的经验，一旦公司拥有了消费者的信息，他们一定会根据这些数据找到一些盈利点。“防欺诈和获取私人信息只是一念之间”， Jennifer Lynch说到。

The Royal Bank of Scotland是为数不多公开讨论生物行为识别信息的银行之一，The Royal Bank of Scotland于两年前为存款较多的客户在私人银行账户上测试这项技术，而现在，该银行将这项技术应用到1870万商家和零售商账户上。

当客户登录苏格兰皇家银行账户时，软件便开始纪录超过2000个不同的消费者互动姿势。在移动端，软件将测量客户拿手机时的角度，用哪个手指滑动页面，手指按压电子显示屏的力度和滑动页面的速度。在电脑端，软件将记录客户敲打键盘时的频率和滑动鼠标时的方式。

苏格兰皇家银行使用的软件由纽约公司BioCatch开发。BioCatch根据每个用户的姿势创建了一个文件，同消费者每次使用时的生物行为习惯相比较。BioCatch声称，识别出莫名顶替者的概率为99%。

在几个月之前，该软件捕捉到一个消费者账户里发生了不寻常的信号。在访问者登录银行账号后，访问者以一种软件没有记录过的方式滑动鼠标，敲打键盘的频率与以往不同。随后警报响起，银行系统冻结账户。经调查，该消费者的账户被黑客入侵，黑客打算窃取七位数的资金。银行相关负责人Kevin Hanley表示，该软件可以实时监控，随时发生警报杜绝入侵事件发生。

当然，生物行为特征并不是一成不变的，当人们疲劳时、喝醉了、伤心时，躺在床上、在办公室里，行为习惯是不会完全一样的。

虽然行为监控软件基于数千元素来概率性的判定屏幕前的那个人是否是账户真正的主人，但是廉价的计算机能力和智能手机传感器的精密性推动该软件的普及。

Hanley表示，该系统不那么引人注目，才是其亮点所在。传统的物理生物识别如指纹和虹膜都需要消费者经过特殊步骤来验证身份。但在生物行为识别系统里，消费者只需要和往常一样动一动鼠标或滑动电子屏幕就可以轻松识别身份。

BioCatch尝试添加一些功能增加识别概率和速度，例如让消费者在手机上录入日期和时间等数据，或让鼠标广告短暂消失一下。BioCatch首席策略官Frances Zelazny表示，面对同一种情况，每个人的反应都是不同的，有的人把鼠标左右移动、有的上下移动，有的直接砸键盘了，这让入侵者很难伪造。由于不需要把输入密码或把手指放在指纹识别器上，消费者根本就不知道什么时候自己的行为习惯被收集或被测试了。

BehavioSec CEO Neil Costigan表示，用户只需要像往常一样登录银行账户就行。

很多企业认为收集用户行为习惯“简单易操作”，而隐私拥趸则称其“危险”。

生物识别系统也可以检测用户的身体状况，如果用户一只手发生了前所未有的抖动，那么用户的医疗保险公司就该担心了。

World Privacy Forum CEO Pam Dixon表示，通常用户数据都有一定保护措施，但根据用户行为习惯收集的数据却没有，公司很有可能滥用数据。

在大部分国家里，美国法律针对生物行为数据的收集或使用。即使是GDPR也没有这方面的规定，最新成立的加利福尼亚数字隐私法案规定公司不能收集用户行为信息，但该法案2020年才生效。

商家和银行会存储用户生物行为数据，但是在大多数情况下，他们对外部供应商分享这部分数据，这一定程度上加大了风险。

BioCatch现在拥有7000万数据并且每月管理60亿次交易，American Express也在新账户上开始使用这项技术。

据悉BioCatch的竞争对手掌握的用户数据量更大，负责销售线上欺诈检测软件的纽约创业公司Forter将生物行为识别技术销售给大型零售商，其数据库记录了超过180个国家1.75亿人口数据。另一位竞争对手NuData去年刚被 Mastercard收购。

越来越多的技术供应商，如监管下的创业公司到巨头IBM，都将销售给零售商和银行的安全系统中植入生物行为识别技术。

该技术可以在没有个消费者个人数据的情况下反欺诈。例如，当用户申请一个新账户时，生物行为识别系统就会悄悄记录用户滑动鼠标、敲打键盘或活动电子显示屏时的习惯。申请人通常都会流畅的点击姓名、地址、社会安全账号，虽然偶尔会出现失误，但骗子通常会剪切或粘贴或通过查阅私人信息来确定正确的密码。

Mastercard副总裁Ryan Wilk表示，虽然这看起来像一个科幻小说，但这项技术确实广泛的应用在大型科技公司和金融业。