既然密码无法保证安全,干脆就干掉密码
[核心提示] 洋葱是一款可以通过扫码等方式解决登录需求的 App,不需要记住登录密码,也不需要 1Password 这样的管理软件,一个洋葱就够了。
2011 年,中国网民常用十大密码是:
2013 年,全球十大最危险用户密码是:
到了 2014 年年末购票信息泄露时,123456、1314、520、521 这些数字还是我国人民最爱用的密码元素。
用 123456 做密码的人要小心了,还有 iloveyou 这么重要的事儿,放在心里说三遍就好了。
专家不厌其烦的说要在不同的网站用不同的用户名和密码,专家还说只用数字的弱口令不行,一定要符号、数字、英文大小写俱全。专家还说,三个月……不,最好一个月换一次密码!这么反人类的规则,为了信息和财产安全,也为了不在找回密码上花费太多时间,1Password、LastPass 等密码保管服务应运而生。
然而就在几日前,全球最热门的密码保管服务之一 LastPass 发布警告,攻击者攻破了运行公司密码管理服务的设备,并盗取了用户的受保护密码及其他敏感的数据——这是在过去四年中第二次发生数据泄露情况。对了,登录 LastPass,你还是需要一串主密码。
说到底,密码就是一串你和对方之间共同认定的信息(密码的表现形式是口令——一串设定好的字符),归根结底是要让对方知道你是你(你妈是你妈),其他人并不知道这把通向你房间钥匙的模样(或者知道了也很难复制)。而让每个人记住手中一大串钥匙的细节,显然对每个人来说都不可能。
如果有一把无法被复制的万能钥匙呢?身份证、指纹、虹膜、声音、你的脸……或者一款叫洋葱的 App?
干掉密码
就是这样一款用扫码和生物识别方式解决登录需求的应用,不需要密码,也就不用担心密码泄露。
「使用洋葱,当你需要登录、支付或其他类型的账号认证时,洋葱会提示你通过手机扫码、声纹、指纹或人脸识别完成账号认证。对于你已经开始使用登录令牌的网站,洋葱还能做到令牌统一管理,无需单独为每一个应用单独安装 app 令牌。」
简单来说,用户只要使用洋葱客户端将网站账号同洋葱客户端进行关联,此后只需扫描二维码即可登录。再也不需要输入密码,一部手机就能登录多个网站账号。
如果一定要究其原理,洋葱为用户登录的每个网站赋予了一串各不相同的加密的字符(有兴趣可以查看「」、「」等词条),截获该字符并破解就需要大量时间和计算能力,同时破解后也没有更多用处——毕竟洋葱登录每一个网站使用的都是没有规律、并不相同的字符串。
破解密码是博弈的过程,需要的计算量太多、获得的价值太少便不会有人「费力不讨好」。同时洋葱的「扫码」登录方式既能保护安全,操作也更加便捷。
那么洋葱的安全如何保护?除了手势密码,洋葱也支持人脸、声纹和指纹密码解锁洋葱,从而保证洋葱客户端的安全。
对于还不支持扫码登录的网站,洋葱的「动态验证码」支持 Google、Microsoft、Amazon、Facebook、小米、Dropbox、Evernote、GitHub 等网站二次登录验证(六位数字动态口令),通过扫一扫即可添加。如果刚巧手机没有网络,6 位洋葱验证码也可以用来登录关联网站。
如果你是开发者或者企业
「密码学加密算法难学易错」,现有的账号认证体系开发流程十分复杂。不用部署额外服务器和维护、也不用额外的硬件设备或者软件 App,想使用洋葱服务的开发者只需要在主页面上点击「我是开发者」,就能得到 API 文档及 PHP、Python、NodeJS 等语言的 API 调用示例。洋葱提供主流开发语言的 SDK,从布局到调试需要的时间大概在 3 小时左右。
企业用户使用洋葱即可去密码登录,防止员工设定简单密码并多人共享后发生安全事故。同时在涉及支付等请求的关键业务上可以使用人脸识别进行二次验证。即便被「脱裤」(窃取数据库),他人依然无法登陆该系统。
对于个人用户洋葱完全免费,而企业也很少需要付费——洋葱计划提供一些商业接口,如果企业根据自己的要求定制企业级服务(如内部员工管理,权限控制等),则需要支付一定的费用。
从 5 月中旬投入使用,洋葱已经接入华夏名网、多备份、站长之家、云立方等多家云服务、域名服务网站,并将很快接入 Ucloud、新网、蘑菇街内网和明道内网。
洋葱安全不安全?
洋葱的背后是 20 名开发人员的辛勤努力,设计之初吴洪声(奶罩)便要求就算发生洋葱被黑这种极端情况,也必须保证用户的账号信息安全。
没错,洋葱的背后是成功打造了 DNSPod「传奇」的吴洪声。比起第一次创业,吴洪声选择了账号安全这个不太容易解决的需求作为新的创业目标,并取名为洋葱——希望账号如洋葱的心一般被层层包裹、无比安全。同时他也希望洋葱能够成为人们「漫游互联网世界中的新身份证」。
洋葱的国际版 已经同步上线,名字来源于「Security Token」的结合,同时「Sec」也代表「Second」——第二次创业。一句「Do not trust your password」的 Slogan,正在向这个充满密码却仍不安全的世界宣战。