中安网星 李佳峰：Web3 时代，图计算如何保护你的网络身份安全？| Founder 100

01

疫情给网络安全行业

带来了新机会

Founder Park：最早决定创业时，行业发生了哪些变化，让你觉得通过创业做一家公司可以达到目标或实现价值？

李佳峰：创业前我们对大环境进行过一些观察，加上国际趋势也有一些影响，中国对信息安全和网络安全的政策支持比较多。近几年数据安全法、网络安全法以及个人信息保护法都出台了，在这些法律法规的机会上催生了很多需求。

另外，根据实际的案例，我们做这件事情其实和身份安全相关。在之前的项目案例中，我们发现被攻击的企业通常是发现自己被攻击了，才开始采取补救措施，没有把安全做到前置或把安全的需求做到前面。事件发生后，给客户分析安全问题时，发现很多情况下客户的日志保存不完整，往前回溯发现整个链条不完整。现在疫情也有很多溯源的操作，需要找到感染源头，这和网络安全攻击非常相似，需要找到攻击者是从哪个源头入侵的。

在这个过程中，我们发现现在的很多设备、安全产品以及安全的解决方案不是特别完整，比如它虽然能回答两个 IP 或两台计算机之间的连接关系，但同一个计算机可能有多人使用。这种情况在甲方或在客户的调查中，无法很好回答这个问题。如果把两台计算机使用的身份关联起来，会达到非常好的调查和溯源作用，拿出非常完整的溯源报告，这个契机也是我们做这件事情的初衷。

整个行业有大的赛道、环境的变化，再结合我们对行业的理解以及行业内有我们确实可以解决的需求，所以做了这件事。另外近几年网络安全相关的创业者也非常多，这是个非常好的机遇，也是我现在看到的整个行业的变化。

国外也有一些成功的案例可以借鉴，比如美国、以色列和法国等国家的很多企业，网络安全公司的市值非常高，这些都有可取之处，但也需要结合我们国家的具体情况。像国外比较火热的 SaaS 赛道等，在国内有很多不太适合的场景，或暂时不适合的情况。可以有借鉴的情况，但需要具体研究自己的行业以及根据客户的具体需求，再制定相关战略。

Founder Park：疫情给安全行业带来了新的命题和挑战，你们创业时会认为这也是一个机会吗？

李佳峰：疫情给很多行业带来打击，也给很多行业带来机会。创业前我们也担心疫情会不会影响创业节奏，会不会导致无法继续增长。内部讨论和研究后发现，受疫情影响，反而所有企业的数字化要求会越来越高。在数字化增长的趋势下，我们认为网络安全的需求也会越来越多。所以疫情对整个网络安全领域乃至整个 IT 领域都具有催化剂的作用。

SaaS 也好，远程办公也好，在未来某个时间点肯定能达到，但疫情会起到催化剂的作用。在原来的线下办公场地办公时，我们不需要担心网络会不会被攻击，可能是处于一个完全隔离的网络，不能通过互联网访问。这种方式可以实现物理隔离，不需要关心内部网络的安全情况。但如果是接入外部互联网，或接入远程办公后，网络安全策略就必须要提升，在这样的策略背景下，我们的网络服务会暴露在互联网上，任何人都能访问到。这种情况下，不做网络安全的投入，被攻击的风险会成倍增加。所以我们认为这是非常好的机会，也是为数不多能抓住的机会。

Founder Park：如何看待网络安全行业以及其发展空间？

李佳峰：这几年行业的增长率是非常高的。市场调研显示每年网络安全领域的市场规模的复合增长率保持在 20% 以上，这两年受疫情影响可能不到 20%，通过复合增长率能看出行业的增长是非常快的。尤其是在 2016 年，网络安全法颁布后，增长速度非常快。

从社会发展角度看，网络安全是在保护数字资产，它的存在是非常必要的。网络安全保护的资产不仅是传统的金钱，还有数据或其它数字资产，保护的范围更广，应用的范围也更广。人类社会会奔向数字化程度更高的场景，像电影《头号玩家》里的场景，越来越多的场景会搬到虚拟世界，那么虚拟世界也需要做好网络安全的防御，所以它肯定是成长性非常高的行业，也是值得关注的行业。

吴江：我个人认为网络安全是一个新兴行业，新兴行业未必能用周期性概括和定义。在我的理解范畴里，不会把它当作周期性的去理解，网络安全一定是持续发展、成长的状态。不同的网络时代、发展进程，对安全的定义、要求和需要的防护程度是完全不一样的，是在持续演进且要求会越来越高，越来越专业甚至越来越多变的演进状态。

所以我更倾向于它是一个会高速且持续成长和变化的行业。政策是有驱动作用的，过去很多人不重视个人的信息安全是需要被保护的，或者即便意识到了，但由于政策措施不到位，导致没有被很好的保护，一旦政策措施下来，会有更好的策略和体系去保护用户个人隐私和网络安全环境。但核心的服务和需求的存在一直是需要的，对于网络安全的从业者或创业者来说，它都是要长期持续耕耘的。

02

主攻身份威胁发现

和识别

Founder Park：你们主要解决行业中的哪些问题？

李佳峰：目前我们主要解决用户身份威胁的发现和识别。

举个例子，现实世界中每个人都有一个标记自己身份的特殊物品，比如身份证，但也可能有假的身份证，如何识别虚拟世界身份证的真假，我们就是在做这样的工作。

第一个切入的领域是做 AD 相关的保护。AD 的全称是 active directory，中文翻译是活动目录。它有点像我们平时用的电话簿，能记录联系人，会把很多信息记录下来。这个信息可以做认证或做用户、账户的管理。对企业来说，需要有一个集权的管理去管理所有的用户，可以存储用户信息、用户账户密码等等，同时也可以提供其它的系统或组件去使用。AD 可以连接企业内部的所有身份基础设施，作为核心的底层身份基础设施，可以让所有的系统来对接它、连接它。比如住酒店，酒店连接的是公安系统的身份证查验系统，相当于不同的系统可以调用 AD，那么我们第一部分就是保护 AD 系统不被入侵。在我们的物理世界，像支付宝或发放身份证的中心，要保护支付宝、身份系统不被入侵，比如身份证在使用过程中，需要分析用户使用它的行为，以及用户使用过程中有没有尝试伪造以及不正常的认证进行攻击等，主要做这样的事情。

Founder Park：AD 主要应用在哪些领域？之前 AD 的解决方案存在什么问题？

李佳峰：AD 作为一套优秀的身份方案，在众多企业的内部也被作为最核心身份基础设施。在企业内部，需要有这样一套系统连接所有人员，存储他们的信息。应用范围也不只包含 Windows，因为它的底层是基于 LDAP（轻量目录访问协议）协议进行认证的，所以我们任何的操作系统都可以连接进入这个系统，国产的操作系统也可以接入到系统中。AD 已经存在 20 多年了，大部分企业会选择这套方案。我们的方案主要是保护整个 AD 系统不被入侵以及发现其中的脆弱项目。

但是企业也可以不用 AD，如果需求不是特别广泛，只需求某一个小点，那么可以找到其它的替换方案。所以目前 AD 是我们进入身份威胁安全领域的头阵。我们现在也支持除了 AD 外其它的身份基础设施，比如 IDaaS（身份即服务）或本地化的 IAM（身份识别与访问管理）等，还有客户自己研发的身份认证基础设施，我们都会尝试接入进来，因为他们的接入是基于网络认证的协议。协议都是标准的，基于历史的积累，从而也可以进行快速分析，发现其中威胁。

在之前的场景和环境中，很多客户对于 AD 的保护方案是缺乏的，市面上没有相关方案能解决这部分的痛点。2016 年在美国的 Black Hat（黑帽技术大会）中，提出了一些针对 AD 的攻击方式和方法。这些方式和方法公之于众后，很多攻击者会使用和学习。过了两到三年很多客户开始被攻击，造成的影响有勒索病毒、勒索软件、勒索攻击和窃取资料等，商业间谍活动也比较多。所以厂商、公司开始重视 AD 和身份的安全，造就了现在的需求，这也是我们做这套方案前存在的问题，以及我们可以解决什么问题的大概背景。

Founder Park：是不是本身 AD 的技术底层也在发生变化，才导致 AD 本身也需要更新换代？

李佳峰：这也是技术背景之一，以 AD 的解决方案提供商微软为例，微软在自发进行一些变革。比如微软推出的 Azure 云服务，云服务商上有一个 Azure AD 的技术组件，用来替换本地化的 AD 方案。整个方案完全云化以及基础设施上云之后，安全维护都由提供厂商或第三方的专业厂商负责，不需要使用者进行维护。

举个常见的例子，手机可以把运行和计算都放到云端，不再需要太大的体积和过多的电量，只需使用一个接入端，网络接入公有云。云厂商只需要提供一些基础硬件，比如没人用手机时，硬件资源就给别人使用，这样可以具有非常大的优势，不用担心黑客单独入侵一个手机，入侵的风险由手机的提供商解决，这样会节省很多资源，也带来很多便利。在万物上云的背景下，我认为 AD 是本地化时代的组件，它也需要有更好的解决方案来替换。微软提出了一些解决方案，我们认为可以做一些更好的、更适合中国国情和我们的客户的具体细化的场景解决方案。

Founder Park：除了 AD 外，注意到你们的公司介绍上还提到了云目录，云目录是一个新产品吗？还是一个新的产品方向？

李佳峰：云目录是想达到的一个最终形态。我们期望在方案后期，能为每个身份标记一个特征。原来的网络通信常见的有应用层、传输层、网络层，还有数据链路层等。这是比较传统的定义，而且是互联网之初就有的一些层次划分。基于这些层次，整个设计中可能没有考虑到身份这一层，但身份层又是非常重要的。如果能为这些架构标记上身份，通过在应用层进行更多更细的拆分，我们就能把身份层加入进去，这是非常有价值的一件事。

云目录可以为任何企业提供底层的身份基础设施，SaaS 也好，本地化的应用也好，能供任何第三方进行调用。这样的方式对企业和整个行业都非常有价值，所以它会是我们偏后期的一套方案。在实际的落地过程中肯定会遇到非常大的阻力，因为它不再是一个检测产品，或者说不会影响客户环境，它需要很大的替换成本、部署成本等各种隐性成本，所以这会是比较长的路。

Founder Park：会担心身份威胁安全领域较小，成长空间不大吗？

吴江：从个人的角度来看，网络安全没有一件是小事，网安无小事。我更关心他们有没有切实的问题解决方案，并且方案是否被用户所认知，他们的用户是 B 端客户。从这个维度看，中安网星解决的问题确实是一个很小的领域。但问题真实存在，且是用户的痛点，这么来看又不算小的领域，至少是一个切入点，确实能解决用户非常重要的需求，而且还有很多延展性。

李佳峰：从身份安全甚至整个大领域来看，我们也做过一些调研，基本上身份领域占了整个行业的 20% 左右，身份领域里组成非常多。再细分的话，身份里会有做硬件的。比如苹果手机用到了 Face ID 和 Touch ID、指纹解锁等，这些都和身份识别相关，同时也有做软件相关的，包括认证、威胁识别、威胁阻断、威胁发现等等。

我们认为身份威胁的领域是比较大的，需要选择一个比较通用化、标准化同时比较容易的切入点，但同时也具有一定的壁垒。我们恰巧在这个机会中掌握了技术，形成了一定的壁垒，然后去切入市场。

03

用图计算解决溯源难题

Founder Park：从投资的角度来看，中安网星在产品上哪方面的思考比较打动你？

吴江：中安网星团队最大的特点是他们不只能说到，还能做到。

安全是一件很复杂的事情，大部分人可能没有机会理解安全到底是什么，只享受了服务，并不知道背后的逻辑和体系，甚至不知道安全理念到底是什么。中安网星是把相对复杂的东西交付为相对简单的产品模块直接给客户，不给客户讲特别复杂的东西，而是给客户解决场景的问题，拿到产品可以开箱即用。这是我接触他们时很心动的一点。

不讲概念，不讲体系，不讲一些宏大的名词，而是给用户一个产品，并告诉用户这个产品能解决什么问题，用户拿过去就能使用。而且他们的客户大部分是对安全性要求较高的金融领域客户，对这个领域的客户来说，一是产品要好，二是可靠性要高，因为金融领域对安全性的技术要求是非常高的。中安网星的产品能经受住他们的考验，并且引到他们的体系里。从这一点来说，产品能力和应用可靠性是毫无疑问的。

Founder Park：你们目前做的核心产品有什么竞争点，或者比较创新的点？

李佳峰：目前我们做到的一个点是从图的概念出发，把所有客户的身份在一个图的场景中标注出来，如何找到并快速发现每两个身份之间的关系，举个例子，我们平常使用微信，可能隔了很久我们翻看通讯录，发现我也不知道什么时候加了一位好友，也不知道什么时候扯了两句闲话。这时候我们的产品可以把用户和用户之间的关联建立起来，通过连线的方式在一张网状图中展示每个身份之间的关系，以及标注出每个身份的属性，客户再进行溯源。发现问题后能快速定位到哪个用户或员工被攻击了，或哪个计算机的账户被攻击，这都能快速定位，而且能用图的方式进行展示，不再是通过列表进行展示。

这项技术引入了数学中的图论，同时与把图论使用得非常好的图数据库进行关联，一方面做到了身份之间的关系，其次也做到关系的关联，同时把所有身份进行特殊属性的展示，能给客户一个快速分析和溯源的场景。

在过去，企业溯源的过程会花费大量的时间，使用图计算后，能快速定位用户之间的关系，可以把原来一两天的工作量降低到一个小时或半个小时，这对客户来说是非常重要的。因为在阻断某些攻击时需要争分夺秒，对企业来说核心是降本增效。一个企业不希望养更多的人来解决更多的问题，而是希望把人数降低，通过机器、计算或各种软件解决需求。软件和计算机不会出错，而且会把人的不稳定因素降得更低。总体来看，我们的方案能给企业带来降本增效的作用。

Founder Park：你们服务什么类型的客户，解决客户怎样的需求问题？

李佳峰：首先是金融领域，银行我们服务了很多客户，银行客户的需求主要是网络威胁的发现。这些威胁和我们熟知的网络威胁不同，我们平常了解较多的网络危险有薅羊毛、抢优惠券等，这些也是企业威胁防护的一部分。我们的主要领域不在这里，而在另一部分，保护银行或金融单位不被国外的攻击者攻击，相关交易数据以及股民资料或银行客户的资料不被窃取，更多是面向 B 端，和 C 端接触较少。

除银行外，还有一些承接的证券行业、保险行业等。以保险为例，如果保单以及历史申请材料泄露，也是个人信息的泄露。这些数据在网络攻击活动中非常重要，除了国际之间的斗争，还有商业竞争，不同的保险公司之间如果有恶意竞争，也会存在网络威胁的攻击行为，我们主要保护这样一个领域。

客户的需求大部分是和威胁阻断相关的。但我们的产品前期没有提供阻断功能，日常杀毒软件的功能首先是发现威胁，其次是阻断威胁。很多客户提出：发现威胁后只告诉我需要处置，但我并不知道如何处置以及怎样妥善处置。发现威胁后很暴力的把服务器关机肯定是不行的。在这样的场景下，要做到自动阻断，而且是精确阻断相关威胁，只阻断威胁并且不给其它组件或其它服务造成困扰。这些需求都来自实际的行业经验，

客户还有对溯源，数据的详细程度、颗粒度等相关的诉求，以及产品能否提供丰富的 API 供其它产品调用等。我们是对客户的所有需求进行深入的挖掘和理解之后，对产品做出逐步改变。

Founder Park：你们的产品对外服务的形态是走 SaaS，还是私有化的部署，还是云上的方案？

李佳峰：我们这套方案覆盖面更广一些。设计之初就考虑到为客户解决安全风险的问题，把方案分为事前、事中和事后。在安全事件爆发之前，我们可以对系统进行加固，被攻击的风险会降到很低。如果事件还是发生了，我们需要实时发现威胁，在事后进行溯源。在整个产品的方案设计上，我们考虑到方案的完整性，同时在解决安全事件的爆发周期内，还需要考虑客户的实际部署环境，这决定了产品的商业模式和部署形态。

目前大部分客户有私有化部署，一部分客户使用 SaaS 化的部署模式或完全云上的云原生部署模式。所以我们在部署模式上不再区分是否完全云原生或完全私有化，而是一个比较混合的状态。因为有的客户可能一部分环境在云上，一部分环境在本地。不管用户是怎样的方案，我们更多是基于混合的部署方案，有私有化的，也有云化的，这样能更好匹配客户的环境。整个 To B 行业还是要匹配当前行业的特性和客户的实际情况。

Founder Park：对标公司有哪些？国内外公司之间有什么差异性吗？

李佳峰：主要说一下国外的公司，像圈内熟知的 Tenable、CyberArk 等上市公司，还有一些创业型公司，比如 FireEye 之前的一些高管出来创立的公司。我们也会关注他们的进度和产品思路，比如 Semperis 主要解决云上的身份威胁，CyberArk 是整个身份威胁的保护，它会解决端点上的保护。常说的端点包括计算机、手机、物联网终端，比如这些终端的一些权限的申请等，CyberArk 做了一个系统，能让每个系统调用高权限时，主动做申请，让流程更自动化。CyberArk 也做了很多的密钥轮换。我们平常用的密码是一个弱口令，会有隐藏在企业内部的影子管理员或账户隐藏的风险。CyberArk 让所有的密码能自动更换，不需要我们手动改密码，他做了很多类似的产品。

这些企业给我们提供了很多思路，同时我们也发现和他们的一些差异。

首先从国外的角度看，中国市场有较好的服务团队。

其次我们的方案完整性更高。按理来说他们走在前面，方案完整性应该更高。但对比下来发现我们的方案完整性更丰富。主要因为他们更多站在商业的角度思考，方案能否快速落地并交付给客户，这是非常重要的。因为他们需要支撑全球市场，而不是只做中国市场。全球市场语言不同，各种类型的数据不同，如何让不懂的人能了解产品，并且能快速交付给客户，这非常重要。所以他们的形态一般是以小的组件模块化构建较大的场景。

我们的思路是在综合的特殊环境下，解决客户的综合需求。把方案交给用户之后，虽说也是开箱即用的，但我们的研发时间更长，交付之后客单价会更高，其次对客户的需求满足会更高，对企业的长期发展是更有利的。另外我们对整个行业的理解比较多，技术方面的实力还是不相上下。目前的身份领域和 AD 领域我们都更擅长，所以还是有很多的差异点，包括身份图数据这个概念，希望能走出更多差异化的方向。

Founder Park：在这个赛道创业，真正的难点在哪里？

李佳峰：整个行业会有一些技术壁垒，对于安全行业，首先它的属性会有部分区别。安全行业不像做初级程序员比较容易入门，只需要掌握一门比较擅长的语言，或者做运维只需要擅长一个组件。做安全攻防这件事，作为攻击者或合法的渗透测试人员，需要了解各种各样的组件，还要懂 web 的前端技术，AoE、React 以及一些后端技术，还有 Python 和其它语言。

其次要了解所有的中间件和后端组件，熟悉所有的操作系统。在这样的场景下，不能只掌握单门技术，需要对大部分技术都有所掌握，需要知道它们的底层技术原理，能做到触类旁通，遇到未知的问题能够解决。在大部分渗透场景和攻击场景下，遇到的组件或技术通常是未知的，需要快速学习这些未知的内容，找到问题和薄弱点，通过薄弱点进行攻击。

就像写程序或是构建一个硬件，像是造房子。作为攻击者需要找到最薄弱的点一击即中。在爆破房子时，定向爆破需要非常高的计算能力，找到建筑的薄弱点，然后安置炸药，一瞬间点掉整栋楼。类似这样的过程，爆破房屋更像渗透测试者或安全人员，类似技术界的「全栈」，作为安全从业者至少应该达到半栈或较高的水平，了解足够多的知识后接触行业会更加顺手。

这个行业不像其他行业找资源和资料比较快。以编程为例，可以自发做开源项目，也可以自发做一些自我驱动式的学习项目，但是攻防不一样。安全行业需要有相关的保护并遵守法律法规。所以在公开的条件下，检索到的资料更少。

其次这个行业需要真实环境构建出的经历。要渗透一个网络环境，如果不知道环境是什么样的，是构建不出来的。真实的环境需要合法的访问，合法的访问需要积累大量的经验和时间，需要很多经验和实际的环境去打磨，这是较难掌握的过程。圈内会把打磨的攻击过程称为叫攻击的杀伤链。假设有七个阶段，前三个阶段可以从公网上搜索到一些资料，后四个阶段更多需要大量的时间和经验。如何掌握后四个阶段的内容更为困难。我们目前做的这款产品和保护的内容处在后四个阶段，也需要相关人才来解决这方面的问题。

Founder Park：会担心大厂的入局吗？

李佳峰：首先在身份市场上，一个企业不可能只拥有一种身份的来源。以银行为例，银行有几种网络的区域划分，有办公网络，所有员工办公会在这个网络下进行认证。这是一套认证体系，通常不会把生产网络接到办公网络中，它们是互相隔离的状态。在生产网络中可能需要另一种认证方式。包括我们现在使用的云服务，阿里、腾讯和华为是我国三大云厂商。

三大云厂商都有自己的 IAM，有他们的认证服务，他们会提供自己的认证服务，而不会兼容对方的认证服务。很多客户还会研发自己的认证服务。在这样的情况下，客户会遇到割裂的场景。把所有的认证行为监控起来不能只依靠某一家做得好的厂商。比如阿里的身份管理体系和威胁防御体系都做得非常好。但企业可能买了一家不知名的云厂商，或者自研了一个云，那么这个云是单独的认证体系。我们现在还在用云原生、Kubernetes 之类的，Kubernetes 也有自己的认证体系，如何把它监控起来？虽然它可能做得非常好，但还是有可能被滥用。

作为一个独立的第三方去兼容各种各样的身份解决方案，会达到非常好的效果。对于大企业来说，它需要集权管理，需要把所有信息、所有身份都连接起来，在一个平台中进行监控，而不是做管理。在这样的场景下，我们是比较有优势的。如果大厂入局，他们兼容的几率不会特别大，主要还是建立他们自己的生态。

04

去中心化对 To B 行业

影响有限

Founder Park：如何看待中安网星未来可能遭遇的挑战？

吴江：中安网星的产品和业务发展都非常快。可能面临的第一个问题是产品研发的进度，新产品的推出和对用户需求的感知能否及时跟上，这是一个非常关键的问题，因为安全体系变化非常快。在行业快速变化的状态下，产品能否跟上行业的变化，这是关键的指标和维度，也是第一个核心问题。

第二个核心问题是他们的客户主要是企业客户，企业客户有几个特点，周期很长，可能从测试到交付再到把钱收回来的交付周期是一个长期的过程。把整个交付过程标准化、流程化，甚至有一个相对完整的 SOP 流程，更健全和完善。对企业客户来说是一个很重要需要考量的问题。

除了产品体系要好和服务企业客户之外，第三个很重要的点是，对企业服务来说，整个的交付和获客流程，甚至最终的服务流程，有时不完全是产品导向的结果。可能产品质量很好，但无法进入别人的产品体系里，或者说产品在行业内做得很好，但企业已经在自己的系统里部署了另一家安全公司产品。对同样的安全公司来说，进到企业里的门槛会更低些。服务企业客户不是一个完全产品导向的状态，团队有没有更好的办法或更好的能力把产品交付到企业。

这三点是需要着重考量的问题。如果能解决这三个问题，整个产品体系能往前走一大步，至少在服务体系里是可以的。

Founder Park：你们怎么看待无密码运动？

李佳峰：无密码在国外火了很多年，国内也有一些尝试。国外把它叫做 passwordless，尽量减少使用密码。无密码的表现形式是使用更便捷且不会被伪造或很难伪造的方式，比如虹膜、面部识别、Face ID、Touch ID 指纹识别等，不需要我们输入 password 字符串，不管是数字还是密码。我们可以通过这样的方式将物理世界的身份转化到虚拟世界，这需要一个转换过程。在此之前我们使用的一些二次验证的方式，比如手机验证码、令牌、U 盾等，但是无密码的认证是最方便的。

在苹果 iOS15.4 更新之前，戴上口罩无法解锁，每次解锁都需要输入密码。企业员工更痛苦的是很多企业的严格要求，比如银行每 30 天就需要修改一次密码，还必须是 15 位以上的密码，不能使用之前的密码。这对于用户来说很痛苦，需要记住位数特别长的密码，还不能使用弱密码，这和我们追求便利的人性是相悖的，所以无密码运动是顺从人性的选择。

但无密码运动也会遇到很多挑战。首先密码不是计算机开始时就有的，因为计算机刚出现时是不需要认证就能使用的。第一个口令也就是密码出现后，到 2022 年，已经有几十年的时间，至今还在用密码手段。我认为核心的原因是成本低，使用 Face ID 或 Touch ID 的硬件成本是非常高的。如果进行改造还涉及到替换成本，需要投入非常多的金钱、时间和人力成本。

企业改造无密码会是一个非常大的动作，也是非常难改造的过程。在某些业务场景上，要做到完全的改造是比较难的。比如我们现在的一个数据库，要支持这些认证，连接这些数据库的所有组件都支持无密码认证是非常难的。

无密码是一个非常有价值的事情，从底层解决了密码问题。二次认证并不是从底层解决，而是以堆积木的方式，再堆一层以更安全的方式进行二次认证。理论上真正把底层进行改造是更安全的。

吴江：字符密码或者口令密码是在技术和体验上找到的一个平衡点，但今天我们有更多方式保证安全，比如刚才提到的 Face ID 或者指纹、虹膜等，甚至包括设备的特征服务标识符都可以。通过认证的方式，我们未必就一定要把密码变成可选项，今天各大厂商联合起来，核心也是想通过更安全有效的方式，把密码这个复杂且反人性的行为去掉，希望通过技术方式让生活变得更方便，这是事件背后的初心。

无密码是个趋势，但无密码是用户本身的体验，背后需要更多的安全厂商有更好的解决方案，用更复杂的技术保证用户体验的安全，来让体验变得更好。

而且这个并不是一家公司做了一款产品或者一个解决方案就能解决的，需要整个技术体系。因为认证的环节不只是一环，我们日常看到的短信登录、密码都只是其中一个环节。如果真的要实现无密码，或者说整个流程非常通畅，其实是各种环节要完全连起来，让用户在前端感知是无密码的。但的背后的流程可能涉及到安全模块，甚至包括接口模块，都是各个厂商之间的协同才可能能实现的。所以这其实是一个相对复杂又漫长的过程，不是某一家公司就能解决掉的。

Founder Park：怎么看待去中心化身份对你们的影响以及未来的发展？

李佳峰：去中心化在很多场景都有非常高的价值。但是去中心化身份就要看具体的场景了。

我们每天都接触很多技术名词，大部分一段时间后就消亡了。去中心化身份需要应对特定的场景，在企业 To B 这件事情上，企业本身就是比较集权的组织，不像做 C 端，很分散，任何人都认为自己是一个中心。对于企业来说公司就是核心。不管是身份还是企业所有内容，我们都需要做好对应的标记。我们追求的是在公司中完全不需要任何匿名，给每个资产包括每张椅子、桌子以及每个身份以及计算机都进行标记，这是公司的资产，所以它是一个非常集权的管理体系。

而且企业的管理者都希望对公司有较强的控制力，这样才能把公司的理念快速传达下去，而不是每个人单打独斗。在这样的场景下，去中心化的场景可能不是特别适用，集权和去中心化的概念有一些相悖。企业更多需要集权，以公司为核心管理所有内容。所以去中心化身份可能在企业的某些场景会使用，但大部分场景企业还需要一套集中认证。比如我们现在用的 SSO 单点登录，其实也是在享受中心化的便利。

使用 SSO 单点登录进入企业后，所有的身份都是统一的，公司可以只分配一个账户，就可以通过公司的门禁，连上公司的 WiFi，同时能访问公司的各种业务系统，不再需要每个系统分配一个密码。对企业来说中心化的身份体系是必然的。

去中心化对 To B 市场没有特别大的影响。可以在某些场景进行一些尝试，只要有好的场景，发展一定会非常迅速。对我们的影响可能不是特别大，对 ToB 的影响也比较有限。

吴江：去中心化这件事本质上是用户侧感受到了去中心化，但是服务侧未必完全是去中心化，只是用户在前端感知上是，但是在后端，就比如佳峰刚才讲述的，可能还是企业为核心的状态。

至少对安全服务提供商来说，越要在前端强调去中心化，背后对主体的稳定性和可靠性要求更高。基于此，为企业服务提供解决方案的产品，安全要求可能比过去还要高，壁垒会越来越强，这反而可能是个机会。