2011年12月�����,CSDN爆出泄密門事件�����,600萬明文的用戶密碼數據庫在網絡上流傳�����。
2014年5月����,小米社區800萬用戶密碼數據泄露后被放出����。
時隔3年多�����,我們的網絡環境安全并沒有變得更好�����,密碼泄露事件依然時不時的傍著國內大的互聯網公司傳播。
唯一正向變化的可能是知情權吧,在第三方漏洞報告平臺上,越來越多的管理后臺弱口令問題被曝光�����,大家可以更直觀的看到自己的個人資料是被怎樣的保護著����。
有沒有可能,改變這種現狀?站長圈的傳奇人物奶罩決定站出來��,他的二次創業項目“洋蔥”就是要死磕用戶密碼安全����。
“ 只要網站和用戶用了這個產品,即使網站數據庫被盜,或者用戶使用了簡單如123456這樣的密碼�����,黑客也無法登錄他的賬號。
”他說����。
奶罩,原名吳洪聲,DNSPod創始人�����。
DNSPod是國內最大的域名解析服務商��,有超過60%以上的網站在使用其服務��。
國內的網絡基礎設施一向落后于海外,DNSPod是為數不多能在全球范圍保持領先的服務之一。
二次驗證器洋蔥是一個怎樣的服務呢��?分為兩部分講��,一是驗證器��,二是萬能登陸。
熟悉Google、Linode賬號的人會知道,它們有一個“二次驗證”功能��,開啟后在非信任設備上登陸�����,除了密碼外還需要輸入一個額外的驗證碼����。
這個驗證碼由算法生成����,每30s自動變換一次。
國內的QQ、支付寶也有類似服務����,分別在QQ安全中心�����、支付寶寶令里��。
另外��,網銀U盾其實就是硬件版的二次驗證工具,不過只在付款時才用到�����。
Google開源了自己的二次驗證協議��,業內不少公司都是基于此構建的服務��,比如Linode、Evernote�����、amazon AWS����、國內的小米等。
洋蔥的驗證器服務也是基于Google協議搭建的��,大家的接口一致�����,驗證碼可由同一個App管理�����。
來看看洋蔥是怎么做的:2C,它是一款App����,可以管理自家的二次驗證碼,也可以管理其它家的;2B����,它可以為BAT之下的互聯網公司提供驗證服務����,成為一種通用接口。
洋蔥App里����,綁定了諸多帳號的驗證器洋蔥的聯合創始人馬一凌告訴雷鋒網:“因為整個團隊都專注在這款產品上�����,我們的服務比大家自己做更好。
比如安全性��,很多團隊可能一兩人盯著�����,沒人的情況也常見��;再比如體驗,二次密碼輸入是個麻煩的過程�����,基于現在智能設備收集的環境數據����,我們可以做到更自然的驗證。
”洋蔥App目前提供了可信Wi-Fi驗證����、指紋識別、人臉識別等。
萬能登陸 僅僅“非信任設備上的二次驗證碼”����,是可以保證用戶帳號安全��,但格局受限,用戶體驗也沒法打通。
洋蔥的想象力在“萬能登陸”部分,官方稱之為基于云和生物特征的用戶身份驗證識別服務����。
在App端呈現的是“安全掃一掃”模塊��。
進入App的界面,“安全掃一掃”占據著最顯眼的位置馬一凌說:“你看到不少網站�����、論壇�����,登陸界面上有‘用微信登陸’��、‘用微博登錄’,未來那里還會出現洋蔥登陸。
”洋蔥登陸的體驗和微信類似����,都是通過掃描二維碼����。
可能你會覺得異想天開��,一個籍籍無名的產品����,卻想著做通用帳號體系����,但這并非不可能����,尤其是在細分市場。
“我們的優勢在于更專注��,洋蔥以此為生�����。
你看����,我們現在移動端已經做了跨平臺的支持,但QQ、支付寶在Windows Phone上的二次驗證功能還是缺失的����。
我們有數十號研發來做帳號安全體系����,即使對那些規模較大的公司��,這種投入也只會在關鍵業務上�����,帳號顯然只是一個小環節。
”馬一凌表示。
他還透露,洋蔥已經在接入UCloud、華夏名網��、新網��、站長之家等網站服務平臺的帳號體系�����,并提供安全驗證服務��。
作為合作方�����,UCloud的接口人方勇向雷鋒網表示,他看到洋蔥的第一印象是“ 一個能幫助企業解決業務安全問題的產品����。
”UCloud會在登陸等敏感流程引入洋蔥��,并向其用戶推薦。
“說騰訊不懂企業有些過分��,但事實確實如此�����。
”一位接近騰訊的匿名人士表示����,“它有些企業產品確實不錯��,但銷售全部外包出去�����,這怎么玩?倒是廣州的微信����,在企業市場做的不錯����,愿意開放數據����。
”洋蔥也是典型的明星創業團隊����,因創新工場合伙人汪華看重奶罩的個人經歷,天使輪就投了上千萬��。
創新工場對接投后管理的姜證嚴對雷鋒網說:“只要洋蔥能在整個市場占據10%份額�����,就算局面打開了��。
”無密時代但這需要時間�����,而且可能是很漫長的時間。
“盡管有DNSPod的積累和奶罩的人脈�����,但想打開局面還需要等待時機�����,我們需要把使用洋蔥變成一種風潮�����。
”馬一凌說����。
究其原因,在國內從事互聯網,安全并非第一要務��,也沒有那沒多懂安全的技術和運營人員�����。
面臨這種窘境的還有Mozilla Persona和FIDO聯盟��,以及更早的先烈們。
Mozilla設想,瀏覽器可以幫助驗證,用戶只需要輸入自己的Email就行了,但這一方案背后�����,是超乎想象復雜的技術����,Mozilla無力推動;FIDO則是強調生物識別和可信硬件,鑒于其可選項過多��,目前推薦標準還只到認證方法����,到交互和識別技術還需要不少時間。
生物識別也有其問題。
目前在市場上做的最好的是蘋果的指紋識別��,對于盜用問題它也無能無力�����,只能說加緊管控app store����。
最先讓我們體驗到無密時代的��,還是Google、FB��、QQ這些數億乃至十數億用戶量的帳號體系����。
馬一凌說:“盡管有很多想象空間,我們現在的首要目標����,仍然是做出一款好用的第三方驗證器����。
對于那些有大量海外重要帳號的用戶群體而言�����,換手機時一個個的重新安裝重新驗證真的很麻煩����,他們早就不耐煩了,洋蔥初期希望抓住這群用戶的心��。
”“我無法預計爆發期����,所以只能更多去做好當下。
”
