作者:元气少女虞喵喵
2011 年,中国网民常用十大密码是:
2013 年,全球十大最危险用户密码是:
到了 2014 年年末购票信息泄露时,123456、1314、520、521 这些数字还是我国人民最爱用的密码元素。
用 123456 做密码的人要小心了,还有 iloveyou 这么重要的事儿,放在心里说三遍就好了。
专家不厌其烦的说要在不同的网站用不同的用户名和密码,专家还说只用数字的弱口令不行,一定要符号、数字、英文大小写俱全。专家还说,三个月……不,最好一个月换一次密码!这么反人类的规则,为了信息和财产安全,也为了不在找回密码上花费太多时间,1Password、LastPass 等密码保管服务应运而生。
然而就在几日前,全球最热门的密码保管服务之一 LastPass 发布警告,攻击者攻破了运行公司密码管理服务的设备,并盗取了用户的受保护密码及其他敏感的数据——这是在过去四年中第二次发生数据泄露情况。对了,登录 LastPass,你还是需要一串主密码。
来自可汗大学的古代密码学课程入门,能给你一些关于密码的启示
说到底,密码就是一串你和对方之间共同认定的信息(密码的表现形式是口令——一串设定好的字符),归根结底是要让对方知道你是你(你妈是你妈),其他人并不知道这把通向你房间钥匙的模样(或者知道了也很难复制)。而让每个人记住手中一大串钥匙的细节,显然对每个人来说都不可能。
如果有一把无法被复制的万能钥匙呢?身份证、指纹、虹膜、声音、你的脸……或者一款叫洋葱的 App?
干掉密码洋葱就是这样一款用扫码和生物识别方式解决登录需求的应用,不需要密码,也就不用担心密码泄露。
「使用洋葱,当你需要登录、支付或其他类型的账号认证时,洋葱会提示你通过手机扫码、声纹、指纹或人脸识别完成账号认证。对于你已经开始使用登录令牌的网站,洋葱还能做到令牌统一管理,无需单独为每一个应用单独安装 app 令牌。」
简单来说,用户只要使用洋葱客户端将网站账号同洋葱客户端进行关联,此后只需扫描二维码即可登录。再也不需要输入密码,一部手机就能登录多个网站账号。
如果一定要究其原理,洋葱为用户登录的每个网站赋予了一串各不相同的加密的字符(有兴趣可以查看「哈希值」、「加密加盐」等词条),截获该字符并破解就需要大量时间和计算能力,同时破解后也没有更多用处——毕竟洋葱登录每一个网站使用的都是没有规律、并不相同的字符串。
破解密码是博弈的过程,需要的计算量太多、获得的价值太少便不会有人「费力不讨好」。同时洋葱的「扫码」登录方式既能保护安全,操作也更加便捷。
那么洋葱的安全如何保护?除了手势密码,洋葱也支持人脸、声纹和指纹密码解锁洋葱,从而保证洋葱客户端的安全。
对于还不支持扫码登录的网站,洋葱的「动态验证码」支持 Google、Microsoft、Amazon、Facebook、小米、Dropbox、Evernote、GitHub 等网站二次登录验证(六位数字动态口令),通过扫一扫即可添加。如果刚巧手机没有网络,6 位洋葱验证码也可以用来登录关联网站。
如果你是开发者或者企业「密码学加密算法难学易错」,现有的账号认证体系开发流程十分复杂。不用部署额外服务器和维护、也不用额外的硬件设备或者软件 App,想使用洋葱服务的开发者只需要在主页面上点击「我是开发者」,就能得到 API 文档及 PHP、Python、NodeJS 等语言的 API 调用示例。洋葱提供主流开发语言的 SDK,从布局到调试需要的时间大概在 3 小时左右。
