干掉账号密码，用身体证明「你就是你」｜极客制造

原创 2015-10-02 hsy505 极客公园

即便是LastPass也发生了密码泄露，那么声音、指纹等生物信息是否将代替现有的账号体系？

洋葱是一个基于云和用户生物信息的验证服务，通过指纹、声音和面部特征等方式解决登录需求，不需要记住账号密码，也不需要 1Password 这样的管理软件。

洋葱的初衷是替代掉 Google 的二次验证，通过生物信息证明你就是你，再加上不可逆的算法，即便你的数据泄露了也不会被别人盗走。

除了现在的网站登陆服务，未来甚至能拓展成门禁系统或者代替车钥匙。

洋葱就是这样一款用扫码和生物识别方式解决登录需求的应用，不需要密码，也就不用担心密码泄露。

「使用洋葱，当你需要登录、支付或其他类型的账号认证时，洋葱会提示你通过手机扫码、声纹、指纹或人脸识别完成账号认证。对于你已经开始使用登录令牌的网站，洋葱还能做到令牌统一管理，无需单独为每一个应用单独安装 app 令牌。」

简单来说，用户只要使用洋葱客户端将网站账号同洋葱客户端进行关联，此后只需扫描二维码即可登录。再也不需要输入密码，一部手机就能登录多个网站账号。

▲洋葱的界面很简单，只有两个功能；设置里可以开启更多验证方式

如果一定要究其原理，洋葱为用户登录的每个网站赋予了一串各不相同的加密的字符（有兴趣可以查看「哈希值」、「加密加盐」等词条），截获该字符并破解就需要大量时间和计算能力，同时破解后也没有更多用处——毕竟洋葱登录每一个网站使用的都是没有规律、并不相同的字符串。

破解密码是博弈的过程，需要的计算量太多、获得的价值太少便不会有人「费力不讨好」。同时洋葱的「扫码」登录方式既能保护安全，操作也更加便捷。

那么洋葱的安全如何保护？除了手势密码，洋葱也支持人脸、声纹和指纹密码解锁洋葱，从而保证洋葱客户端的安全。

对于还不支持扫码登录的网站，洋葱的「动态验证码」支持 Google、Microsoft、Amazon、Facebook、小米、Dropbox、Evernote、GitHub 等网站二次登录验证（六位数字动态口令），通过扫一扫即可添加。如果刚巧手机没有网络，6 位洋葱验证码也可以用来登录关联网站。

本文为极客公园原创

转载联系jianghaoke@geekpark.net

点击图片，阅读更多

▼

科技创新者的大本营
www.geekpark.net

长按二维码，关注极客公园