2011年12月,CSDN爆出泄密門事件,600萬明文的用戶密碼數(shù)據(jù)庫在網(wǎng)絡(luò)上流傳�����。
2014年5月����,小米社區(qū)800萬用戶密碼數(shù)據(jù)泄露后被放出���。
時隔3年多��,我們的網(wǎng)絡(luò)環(huán)境安全并沒有變得更好��,密碼泄露事件依然時不時的傍著國內(nèi)大的互聯(lián)網(wǎng)公司傳播�。
唯一正向變化的可能是知情權(quán)吧,在第三方漏洞報告平臺上���,越來越多的管理后臺弱口令問題被曝光���,大家可以更直觀的看到自己的個人資料是被怎樣的保護(hù)著。
有沒有可能�,改變這種現(xiàn)狀?站長圈的傳奇人物奶罩決定站出來����,他的二次創(chuàng)業(yè)項目“洋蔥”就是要死磕用戶密碼安全。
“ 只要網(wǎng)站和用戶用了這個產(chǎn)品�,即使網(wǎng)站數(shù)據(jù)庫被盜,或者用戶使用了簡單如123456這樣的密碼�,黑客也無法登錄他的賬號���。
”他說��。
奶罩���,原名吳洪聲����,DNSPod創(chuàng)始人����。
DNSPod是國內(nèi)最大的域名解析服務(wù)商,有超過60%以上的網(wǎng)站在使用其服務(wù)��。
國內(nèi)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施一向落后于海外���,DNSPod是為數(shù)不多能在全球范圍保持領(lǐng)先的服務(wù)之一��。
二次驗證器洋蔥是一個怎樣的服務(wù)呢����?分為兩部分講���,一是驗證器����,二是萬能登陸。
熟悉Google�����、Linode賬號的人會知道����,它們有一個“二次驗證”功能,開啟后在非信任設(shè)備上登陸����,除了密碼外還需要輸入一個額外的驗證碼。
這個驗證碼由算法生成����,每30s自動變換一次。
國內(nèi)的QQ����、支付寶也有類似服務(wù),分別在QQ安全中心���、支付寶寶令里�����。
另外��,網(wǎng)銀U盾其實就是硬件版的二次驗證工具�����,不過只在付款時才用到���。
Google開源了自己的二次驗證協(xié)議,業(yè)內(nèi)不少公司都是基于此構(gòu)建的服務(wù)�����,比如Linode�����、Evernote��、amazon AWS�、國內(nèi)的小米等。
洋蔥的驗證器服務(wù)也是基于Google協(xié)議搭建的�,大家的接口一致�,驗證碼可由同一個App管理�����。
來看看洋蔥是怎么做的:2C����,它是一款A(yù)pp,可以管理自家的二次驗證碼��,也可以管理其它家的�;2B,它可以為BAT之下的互聯(lián)網(wǎng)公司提供驗證服務(wù)���,成為一種通用接口�����。
洋蔥App里���,綁定了諸多帳號的驗證器洋蔥的聯(lián)合創(chuàng)始人馬一凌告訴雷鋒網(wǎng):“因為整個團(tuán)隊都專注在這款產(chǎn)品上,我們的服務(wù)比大家自己做更好�����。
比如安全性,很多團(tuán)隊可能一兩人盯著���,沒人的情況也常見�;再比如體驗���,二次密碼輸入是個麻煩的過程,基于現(xiàn)在智能設(shè)備收集的環(huán)境數(shù)據(jù)����,我們可以做到更自然的驗證。
”洋蔥App目前提供了可信Wi-Fi驗證��、指紋識別�����、人臉識別等�。
萬能登陸 僅僅“非信任設(shè)備上的二次驗證碼”,是可以保證用戶帳號安全�����,但格局受限�����,用戶體驗也沒法打通。
洋蔥的想象力在“萬能登陸”部分����,官方稱之為基于云和生物特征的用戶身份驗證識別服務(wù)。
在App端呈現(xiàn)的是“安全掃一掃”模塊����。
進(jìn)入App的界面,“安全掃一掃”占據(jù)著最顯眼的位置馬一凌說:“你看到不少網(wǎng)站��、論壇�,登陸界面上有‘用微信登陸’、‘用微博登錄’��,未來那里還會出現(xiàn)洋蔥登陸�。
”洋蔥登陸的體驗和微信類似,都是通過掃描二維碼�。
可能你會覺得異想天開,一個籍籍無名的產(chǎn)品�,卻想著做通用帳號體系,但這并非不可能����,尤其是在細(xì)分市場����。
“我們的優(yōu)勢在于更專注��,洋蔥以此為生���。
你看����,我們現(xiàn)在移動端已經(jīng)做了跨平臺的支持�����,但QQ���、支付寶在Windows Phone上的二次驗證功能還是缺失的。
我們有數(shù)十號研發(fā)來做帳號安全體系���,即使對那些規(guī)模較大的公司�����,這種投入也只會在關(guān)鍵業(yè)務(wù)上���,帳號顯然只是一個小環(huán)節(jié)���。
”馬一凌表示。
他還透露�����,洋蔥已經(jīng)在接入UCloud���、華夏名網(wǎng)�����、新網(wǎng)��、站長之家等網(wǎng)站服務(wù)平臺的帳號體系��,并提供安全驗證服務(wù)�����。
作為合作方����,UCloud的接口人方勇向雷鋒網(wǎng)表示,他看到洋蔥的第一印象是“ 一個能幫助企業(yè)解決業(yè)務(wù)安全問題的產(chǎn)品����。
”UCloud會在登陸等敏感流程引入洋蔥,并向其用戶推薦���。
“說騰訊不懂企業(yè)有些過分��,但事實確實如此����。
”一位接近騰訊的匿名人士表示����,“它有些企業(yè)產(chǎn)品確實不錯����,但銷售全部外包出去,這怎么玩�?倒是廣州的微信,在企業(yè)市場做的不錯��,愿意開放數(shù)據(jù)��。
”洋蔥也是典型的明星創(chuàng)業(yè)團(tuán)隊,因創(chuàng)新工場合伙人汪華看重奶罩的個人經(jīng)歷�,天使輪就投了上千萬。
創(chuàng)新工場對接投后管理的姜證嚴(yán)對雷鋒網(wǎng)說:“只要洋蔥能在整個市場占據(jù)10%份額���,就算局面打開了����。
”無密時代但這需要時間��,而且可能是很漫長的時間��。
“盡管有DNSPod的積累和奶罩的人脈�,但想打開局面還需要等待時機(jī),我們需要把使用洋蔥變成一種風(fēng)潮����。
”馬一凌說。
究其原因���,在國內(nèi)從事互聯(lián)網(wǎng)���,安全并非第一要務(wù),也沒有那沒多懂安全的技術(shù)和運營人員。
面臨這種窘境的還有Mozilla Persona和FIDO聯(lián)盟��,以及更早的先烈們���。
Mozilla設(shè)想�����,瀏覽器可以幫助驗證�,用戶只需要輸入自己的Email就行了����,但這一方案背后,是超乎想象復(fù)雜的技術(shù)���,Mozilla無力推動��;FIDO則是強調(diào)生物識別和可信硬件,鑒于其可選項過多�����,目前推薦標(biāo)準(zhǔn)還只到認(rèn)證方法���,到交互和識別技術(shù)還需要不少時間���。
生物識別也有其問題���。
目前在市場上做的最好的是蘋果的指紋識別,對于盜用問題它也無能無力��,只能說加緊管控app store�����。
最先讓我們體驗到無密時代的���,還是Google��、FB�、QQ這些數(shù)億乃至十?dāng)?shù)億用戶量的帳號體系�����。
馬一凌說:“盡管有很多想象空間����,我們現(xiàn)在的首要目標(biāo)�����,仍然是做出一款好用的第三方驗證器�。
對于那些有大量海外重要帳號的用戶群體而言���,換手機(jī)時一個個的重新安裝重新驗證真的很麻煩���,他們早就不耐煩了,洋蔥初期希望抓住這群用戶的心�����。
”“我無法預(yù)計爆發(fā)期��,所以只能更多去做好當(dāng)下��。
”
