密码这么不安全,干脆就干掉密码吧
作者元气少女虞喵喵
2011 年,中国网民常用十大密码是
2013 年,全球十大最危险用户密码是
到了 2014 年年末购票信息泄露时,123456、1314、520、521 这些数字还是我国人民最爱用的密码元素。
用 123456 做密码的人要小心了,还有 iloveyou 这么重要的事儿,放在心里说三遍就好了。
专家不厌其烦的说要在不同的网站用不同的用户名和密码,专家还说只用数字的弱口令不行,一定要符号、数字、英文大小写俱全。专家还说,三个月……不,最好一个月换一次密码!这么反人类的规则,为了信息和财产安全,也为了不在找回密码上花费太多时间,1Password、LastPass 等密码保管服务应运而生。
就在几日前,全球最热门的密码保管服务之一 LastPass 发布警告,攻击者攻破了运行公司密码管理服务的设备,并盗取了用户的受保护密码及其他敏感的数据——这是在过去四年中第二次发生数据泄露情况。对了,登录 LastPass,你还是需要一串主密码。
来自可汗大学的古代密码学课程入门,能给你一些关于密码的启示
说到底,密码就是一串你和对方之间共同认定的信息(密码的表现形式是口令——一串设定好的字符),归根结底是要让对方知道你是你(你妈是你妈),其他人并不知道这把通向你房间钥匙的模样(或者知道了也很难复制)。而让每个人记住手中一大串钥匙的细节,显然对每个人来说都不可能。
如果有一把无法被复制的万能钥匙呢?身份证、指纹、虹膜、声音、你的脸……或者一款叫洋葱的 App?
干掉密码
洋葱就是这样一款用扫码和生物识别方式解决登录需求的应用,不需要密码,也就不用担心密码泄露。
「使用洋葱,当你需要登录、支付或其他类型的账号认证时,洋葱会提示你通过手机扫码、声纹、指纹或人脸识别完成账号认证。对于你已经开始使用登录令牌的网站,洋葱还能做到令牌统一管理,无需单独为每一个应用单独安装 app 令牌。」
简单来说,用户只要使用洋葱客户端将网站账号同洋葱客户端进行关联,此后只需扫描二维码即可登录。再也不需要输入密码,一部手机就能登录多个网站账号。
洋葱的界面很简单,只有两个功能;设置里可以开启更多验证方式
如果一定要究其原理,洋葱为用户登录的每个网站赋予了一串各不相同的加密的字符(有兴趣可以查看「哈希值」、「加密加盐」等词条),截获该字符并破解就需要大量时间和计算能力,破解后也没有更多用处——毕竟洋葱登录每一个网站使用的都是没有规律、并不相同的字符串。
破解密码是博弈的过程,需要的计算量太多、获得的价值太少便不会有人「费力不讨好」。洋葱的「扫码」登录方式既能保护安全,操作也更加便捷。
那么洋葱的安全如何保护?除了手势密码,洋葱也支持人脸、声纹和指纹密码解锁洋葱,从而保证洋葱客户端的安全。
对于还不支持扫码登录的网站,洋葱的「动态验证码」支持 Google、Microsoft、Amazon、Facebook、小米、Dropbox、Evernote、GitHub 等网站二次登录验证(六位数字动态口令),通过扫一扫即可添加。如果刚巧手机没有网络,6 位洋葱验证码也可以用来登录关联网站。
如果你是开发者或者企业
「密码学加密算法难学易错」,现有的账号认证体系开发流程十分复杂。不用部署额外服务器和维护、也不用额外的硬件设备或者软件 App,想使用洋葱服务的开发者只需要在主页面上点击「我是开发者」,就能得到 API 文档及 PHP、Python、NodeJS 等语言的 API 调用示例。洋葱提供主流开发语言的 SDK,从布局到调试需要的时间大概在 3 小时左右。
如果你是开发者,洋葱提供便捷的设置方法
企业用户使用洋葱即可去密码登录,防止员工设定简单密码并多人共享后发生安全事故。在涉及支付等请求的关键业务上可以使用人脸识别进行二次验证。即便被「脱裤」(窃取数据库),他人依然无法登陆该系统。
对于个人用户洋葱完全免费,而企业也很少需要付费——洋葱计划提供一些商业接口,如果企业根据自己的要求定制企业级服务(如内部员工管理,权限控制等),则需要支付一定的费用。
从 5 月中旬投入使用,洋葱已经接入华夏名网、多备份、站长之家、云立方等多家云服务、域名服务网站,并将很快接入 Ucloud、新网、蘑菇街内网和明道内网。
洋葱安全不安全?
洋葱的背后是 20 名开发人员的辛勤努力,设计之初吴洪声(奶罩)便要求就算发生洋葱被黑这种极端情况,也必须保证用户的账号信息安全。
DNSPod 创始人吴洪声。2012年,腾讯以4000万元收购 DNSPod 100% 股权。
没错,洋葱的背后是成功打造了 DNSPod「传奇」的吴洪声。比起第一次创业,吴洪声选择了账号安全这个不太容易解决的需求作为新的创业目标,并取名为洋葱——希望账号如洋葱的心一般被层层包裹、无比安全。他也希望洋葱能够成为人们「漫游互联网世界中的新身份证」。
洋葱的国际版 Secken已经同步上线,名字来源于「Security Token」的结合,「Sec」也代表「Second」——第二次创业。一句「Do not trust your password」的 Slogan,正在向这个充满密码却仍不安全的世界宣战。
网络安全培训
- 网络安全常见漏洞类型 网络安全常见漏洞类型包
- 绿色上网顺口溜七言 绿色上网的宣传标语
- 网络安全等级保护测评 网络安全等级保护条例
- 如何加强网络安全 网络安全隐患有哪些
- 网络安全防护措施有哪些 网络安全等级保护等级
- 如何保障网络安全 如何做好网络安全保障工作
- 维护网络安全的措施有哪些 维护网络安全的主要
- 网络安全工程师好学吗 2024年网络安全工程师好学
- 网络安全注意事项简短 网络安全注意事项100字
- 网络安全面临的挑战 当前网络安全面临的新问题
- 网络安全培训哪个靠谱 网络安全培训找哪个
- 普及网络安全知识内容 普及网络安全教育
- 网络安全防范知识宣传内容 网络安全防范知识宣
- 如何做好网络安全工作 如何做好网络安全工作
- 网络安全常识的丰富内容 网络安全的相关知识
- 青少年网络安全教育片 青少年网络安全知识讲座