2011年12月��,CSDN爆出泄密門事件,600萬明文的用戶密碼數(shù)據(jù)庫在網(wǎng)絡(luò)上流傳����。
2014年5月����,小米社區(qū)800萬用戶密碼數(shù)據(jù)泄露后被放出�����。
時隔3年多,我們的網(wǎng)絡(luò)環(huán)境安全并沒有變得更好��,密碼泄露事件依然時不時的傍著國內(nèi)大的互聯(lián)網(wǎng)公司傳播�����。
唯一正向變化的可能是知情權(quán)吧����,在第三方漏洞報告平臺上�����,越來越多的管理后臺弱口令問題被曝光�����,大家可以更直觀的看到自己的個人資料是被怎樣的保護(hù)著。
有沒有可能��,改變這種現(xiàn)狀��?站長圈的傳奇人物奶罩決定站出來�����,他的二次創(chuàng)業(yè)項目“洋蔥”就是要死磕用戶密碼安全。
“ 只要網(wǎng)站和用戶用了這個產(chǎn)品�����,即使網(wǎng)站數(shù)據(jù)庫被盜����,或者用戶使用了簡單如123456這樣的密碼����,黑客也無法登錄他的賬號��。
”他說。
奶罩����,原名吳洪聲�����,DNSPod創(chuàng)始人。
DNSPod是國內(nèi)最大的域名解析服務(wù)商�����,有超過60%以上的網(wǎng)站在使用其服務(wù)����。
國內(nèi)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施一向落后于海外,DNSPod是為數(shù)不多能在全球范圍保持領(lǐng)先的服務(wù)之一��。
二次驗證器洋蔥是一個怎樣的服務(wù)呢��?分為兩部分講����,一是驗證器�����,二是萬能登陸。
熟悉Google����、Linode賬號的人會知道�����,它們有一個“二次驗證”功能,開啟后在非信任設(shè)備上登陸,除了密碼外還需要輸入一個額外的驗證碼。
這個驗證碼由算法生成����,每30s自動變換一次����。
國內(nèi)的QQ����、支付寶也有類似服務(wù),分別在QQ安全中心��、支付寶寶令里�����。
另外����,網(wǎng)銀U盾其實就是硬件版的二次驗證工具��,不過只在付款時才用到�����。
Google開源了自己的二次驗證協(xié)議��,業(yè)內(nèi)不少公司都是基于此構(gòu)建的服務(wù)��,比如Linode、Evernote����、amazon AWS����、國內(nèi)的小米等。
洋蔥的驗證器服務(wù)也是基于Google協(xié)議搭建的��,大家的接口一致�����,驗證碼可由同一個App管理��。
來看看洋蔥是怎么做的:2C,它是一款A(yù)pp��,可以管理自家的二次驗證碼�����,也可以管理其它家的��;2B,它可以為BAT之下的互聯(lián)網(wǎng)公司提供驗證服務(wù)����,成為一種通用接口����。
洋蔥App里����,綁定了諸多帳號的驗證器洋蔥的聯(lián)合創(chuàng)始人馬一凌告訴雷鋒網(wǎng):“因為整個團(tuán)隊都專注在這款產(chǎn)品上��,我們的服務(wù)比大家自己做更好�����。
比如安全性,很多團(tuán)隊可能一兩人盯著����,沒人的情況也常見�����;再比如體驗,二次密碼輸入是個麻煩的過程��,基于現(xiàn)在智能設(shè)備收集的環(huán)境數(shù)據(jù)��,我們可以做到更自然的驗證��。
”洋蔥App目前提供了可信Wi-Fi驗證、指紋識別�����、人臉識別等��。
萬能登陸 僅僅“非信任設(shè)備上的二次驗證碼”�����,是可以保證用戶帳號安全����,但格局受限,用戶體驗也沒法打通。
洋蔥的想象力在“萬能登陸”部分,官方稱之為基于云和生物特征的用戶身份驗證識別服務(wù)。
在App端呈現(xiàn)的是“安全掃一掃”模塊����。
進(jìn)入App的界面�����,“安全掃一掃”占據(jù)著最顯眼的位置馬一凌說:“你看到不少網(wǎng)站、論壇,登陸界面上有‘用微信登陸’����、‘用微博登錄’��,未來那里還會出現(xiàn)洋蔥登陸。
”洋蔥登陸的體驗和微信類似�����,都是通過掃描二維碼。
可能你會覺得異想天開,一個籍籍無名的產(chǎn)品�����,卻想著做通用帳號體系��,但這并非不可能��,尤其是在細(xì)分市場。
“我們的優(yōu)勢在于更專注��,洋蔥以此為生�����。
你看,我們現(xiàn)在移動端已經(jīng)做了跨平臺的支持,但QQ�����、支付寶在Windows Phone上的二次驗證功能還是缺失的����。
我們有數(shù)十號研發(fā)來做帳號安全體系,即使對那些規(guī)模較大的公司��,這種投入也只會在關(guān)鍵業(yè)務(wù)上����,帳號顯然只是一個小環(huán)節(jié)。
”馬一凌表示�����。
他還透露��,洋蔥已經(jīng)在接入UCloud����、華夏名網(wǎng)����、新網(wǎng)、站長之家等網(wǎng)站服務(wù)平臺的帳號體系,并提供安全驗證服務(wù)。
作為合作方�����,UCloud的接口人方勇向雷鋒網(wǎng)表示��,他看到洋蔥的第一印象是“ 一個能幫助企業(yè)解決業(yè)務(wù)安全問題的產(chǎn)品�����。
”UCloud會在登陸等敏感流程引入洋蔥�����,并向其用戶推薦����。
“說騰訊不懂企業(yè)有些過分��,但事實確實如此����。
”一位接近騰訊的匿名人士表示����,“它有些企業(yè)產(chǎn)品確實不錯,但銷售全部外包出去����,這怎么玩����?倒是廣州的微信,在企業(yè)市場做的不錯��,愿意開放數(shù)據(jù)�����。
”洋蔥也是典型的明星創(chuàng)業(yè)團(tuán)隊����,因創(chuàng)新工場合伙人汪華看重奶罩的個人經(jīng)歷����,天使輪就投了上千萬����。
創(chuàng)新工場對接投后管理的姜證嚴(yán)對雷鋒網(wǎng)說:“只要洋蔥能在整個市場占據(jù)10%份額,就算局面打開了����。
”無密時代但這需要時間�����,而且可能是很漫長的時間。
“盡管有DNSPod的積累和奶罩的人脈�����,但想打開局面還需要等待時機(jī)����,我們需要把使用洋蔥變成一種風(fēng)潮。
”馬一凌說��。
究其原因����,在國內(nèi)從事互聯(lián)網(wǎng),安全并非第一要務(wù)��,也沒有那沒多懂安全的技術(shù)和運(yùn)營人員����。
面臨這種窘境的還有Mozilla Persona和FIDO聯(lián)盟�����,以及更早的先烈們����。
Mozilla設(shè)想��,瀏覽器可以幫助驗證����,用戶只需要輸入自己的Email就行了�����,但這一方案背后�����,是超乎想象復(fù)雜的技術(shù),Mozilla無力推動;FIDO則是強(qiáng)調(diào)生物識別和可信硬件��,鑒于其可選項過多��,目前推薦標(biāo)準(zhǔn)還只到認(rèn)證方法�����,到交互和識別技術(shù)還需要不少時間��。
生物識別也有其問題。
目前在市場上做的最好的是蘋果的指紋識別,對于盜用問題它也無能無力�����,只能說加緊管控app store��。
最先讓我們體驗到無密時代的,還是Google����、FB��、QQ這些數(shù)億乃至十?dāng)?shù)億用戶量的帳號體系。
馬一凌說:“盡管有很多想象空間,我們現(xiàn)在的首要目標(biāo)��,仍然是做出一款好用的第三方驗證器����。
對于那些有大量海外重要帳號的用戶群體而言,換手機(jī)時一個個的重新安裝重新驗證真的很麻煩,他們早就不耐煩了����,洋蔥初期希望抓住這群用戶的心����。
”“我無法預(yù)計爆發(fā)期��,所以只能更多去做好當(dāng)下����。
”
