6
本文作者: 硬创观察 | 2015-05-11 21:55 |
2011年12月,CSDN爆出泄密门事件,600万明文的用户密码数据库在网络上流传。
2014年5月,小米社区800万用户密码数据泄露后被放出。
时隔3年多,我们的网络环境安全并没有变得更好,密码泄露事件依然时不时的傍着国内大的互联网公司传播。唯一正向变化的可能是知情权吧,在第三方漏洞报告平台上,越来越多的管理后台弱口令问题被曝光,大家可以更直观的看到自己的个人资料是被怎样的保护着。
有没有可能,改变这种现状?站长圈的传奇人物奶罩决定站出来,他的二次创业项目“洋葱”(www.yangcong.com)就是要死磕用户密码安全。
“ 只要网站和用户用了这个产品,即使网站数据库被盗,或者用户使用了简单如123456这样的密码,黑客也无法登录他的账号。”他说。
奶罩,原名吴洪声,DNSPod创始人。DNSPod是国内最大的域名解析服务商,有超过60%以上的网站在使用其服务。国内的网络基础设施一向落后于海外,DNSPod是为数不多能在全球范围保持领先的服务之一。
洋葱是一个怎样的服务呢?分为两部分讲,一是验证器,二是万能登录。
熟悉Google、Linode账号的人会知道,它们有一个“二次验证”功能,开启后在非信任设备上登录,除了密码外还需要输入一个额外的验证码。这个验证码由算法生成,每30s自动变换一次。
国内的QQ、支付宝也有类似服务,分别在QQ安全中心、支付宝宝令里。另外,网银U盾其实就是硬件版的二次验证工具,不过只在付款时才用到。
Google开源了自己的二次验证协议,业内不少公司都是基于此构建的服务,比如Linode、Evernote、Amazon AWS、国内的小米等。洋葱的验证器服务也是基于Google协议搭建的,大家的接口一致,验证码可由同一个App管理。
来看看洋葱是怎么做的:2C,它是一款App,可以管理自家的二次验证码,也可以管理其它家的;2B,它可以为BAT之下的互联网公司提供验证服务,成为一种通用接口。
洋葱App里,绑定了诸多帐号的验证器
洋葱的联合创始人马一凌告诉雷锋网:“因为整个团队都专注在这款产品上,我们的服务比大家自己做更好。比如安全性,很多团队可能一两人盯着,没人的情况也常见;再比如体验,二次密码输入是个麻烦的过程,基于现在智能设备收集的环境数据,我们可以做到更自然的验证。”洋葱App目前提供了可信Wi-Fi验证、指纹识别、人脸识别等。
仅仅“非信任设备上的二次验证码”,是可以保证用户帐号安全,但格局受限,用户体验也没法打通。
洋葱的想象力在“万能登录”部分,官方称之为基于云和生物特征的用户身份验证识别服务。在App端呈现的是“安全扫一扫”模块。
进入App的界面,“安全扫一扫”占据着最显眼的位置
马一凌说:“你看到不少网站、论坛,登录界面上有‘用微信登录’、‘用微博登录’,未来那里还会出现洋葱登录。”洋葱登录的体验和微信类似,都是通过扫描二维码。
可能你会觉得异想天开,一个籍籍无名的产品,却想着做通用帐号体系,但这并非不可能,尤其是在细分市场。
“我们的优势在于更专注,洋葱以此为生。你看,我们现在移动端已经做了跨平台的支持,但QQ、支付宝在Windows Phone上的二次验证功能还是缺失的。我们有数十号研发来做帐号安全体系,即使对那些规模较大的公司,这种投入也只会在关键业务上,帐号显然只是一个小环节。”马一凌表示。他还透露,洋葱已经在接入UCloud、华夏名网、新网、站长之家等网站服务平台的帐号体系,并提供安全验证服务。
作为合作方,UCloud的接口人方勇向雷锋网表示,他看到洋葱的第一印象是“ 一个能帮助企业解决业务安全问题的产品。”UCloud会在登录等敏感流程引入洋葱,并向其用户推荐。
“说腾讯不懂企业有些过分,但事实确实如此。”一位接近腾讯的匿名人士表示,“它有些企业产品确实不错,但销售全部外包出去,这怎么玩?倒是广州的微信,在企业市场做的不错,愿意开放数据。”
洋葱也是典型的明星创业团队,因创新工场合伙人汪华看重奶罩的个人经历,天使轮就投了上千万。创新工场对接投后管理的姜证严对雷锋网说:“只要洋葱能在整个市场占据10%份额,就算局面打开了。”
但这需要时间,而且可能是很漫长的时间。
“尽管有DNSPod的积累和奶罩的人脉,但想打开局面还需要等待时机,我们需要把使用洋葱变成一种风潮。”马一凌说。
究其原因,在国内从事互联网,安全并非第一要务,也没有那没多懂安全的技术和运营人员。
面临这种窘境的还有Mozilla Persona和FIDO联盟,以及更早的先烈们。Mozilla设想,浏览器可以帮助验证,用户只需要输入自己的Email就行了,但这一方案背后,是超乎想象复杂的技术,Mozilla无力推动;FIDO则是强调生物识别和可信硬件,鉴于其可选项过多,目前推荐标准还只到认证方法,到交互和识别技术还需要不少时间。
生物识别也有其问题。目前在市场上做的最好的是苹果的指纹识别,对于盗用问题它也无能无力,只能说加紧管控App Store。
最先让我们体验到无密时代的,还是Google、FB、QQ这些数亿乃至十数亿用户量的帐号体系。
马一凌说:“尽管有很多想象空间,我们现在的首要目标,仍然是做出一款好用的第三方验证器。对于那些有大量海外重要帐号的用户群体而言,换手机时一个个的重新安装重新验证真的很麻烦,他们早就不耐烦了,洋葱初期希望抓住这群用户的心。”
“我无法预计爆发期,所以只能更多去做好当下。”
雷峰网原创文章,未经授权禁止转载。详情见转载须知。