作者:元气少女虞喵喵

2011 年,中国网民常用十大密码是:

密码这么不安全,干脆就干掉密码吧

2013 年,全球十大最危险用户密码是:

密码这么不安全,干脆就干掉密码吧

到了 2014 年年末购票信息泄露时,123456、1314、520、521 这些数字还是我国人民最爱用的密码元素。

用 123456 做密码的人要小心了,还有 iloveyou 这么重要的事儿,放在心里说三遍就好了。

专家不厌其烦的说要在不同的网站用不同的用户名和密码,专家还说只用数字的弱口令不行,一定要符号、数字、英文大小写俱全。专家还说,三个月……不,最好一个月换一次密码!这么反人类的规则,为了信息和财产安全,也为了不在找回密码上花费太多时间,1Password、LastPass 等密码保管服务应运而生。

然而就在几日前,全球最热门的密码保管服务之一 LastPass 发布警告,攻击者攻破了运行公司密码管理服务的设备,并盗取了用户的受保护密码及其他敏感的数据——这是在过去四年中第二次发生数据泄露情况。对了,登录 LastPass,你还是需要一串主密码。

来自可汗大学的古代密码学课程入门,能给你一些关于密码的启示

说到底,密码就是一串你和对方之间共同认定的信息(密码的表现形式是口令——一串设定好的字符),归根结底是要让对方知道你是你(你妈是你妈),其他人并不知道这把通向你房间钥匙的模样(或者知道了也很难复制)。而让每个人记住手中一大串钥匙的细节,显然对每个人来说都不可能。

如果有一把无法被复制的万能钥匙呢?身份证、指纹、虹膜、声音、你的脸……或者一款叫洋葱的 App?

干掉密码

洋葱就是这样一款用扫码和生物识别方式解决登录需求的应用,不需要密码,也就不用担心密码泄露。

「使用洋葱,当你需要登录、支付或其他类型的账号认证时,洋葱会提示你通过手机扫码、声纹、指纹或人脸识别完成账号认证。对于你已经开始使用登录令牌的网站,洋葱还能做到令牌统一管理,无需单独为每一个应用单独安装 app 令牌。」

简单来说,用户只要使用洋葱客户端将网站账号同洋葱客户端进行关联,此后只需扫描二维码即可登录。再也不需要输入密码,一部手机就能登录多个网站账号。

密码这么不安全,干脆就干掉密码吧

洋葱的界面很简单,只有两个功能;设置里可以开启更多验证方式

如果一定要究其原理,洋葱为用户登录的每个网站赋予了一串各不相同的加密的字符(有兴趣可以查看「哈希值」、「加密加盐」等词条),截获该字符并破解就需要大量时间和计算能力,同时破解后也没有更多用处——毕竟洋葱登录每一个网站使用的都是没有规律、并不相同的字符串。

破解密码是博弈的过程,需要的计算量太多、获得的价值太少便不会有人「费力不讨好」。同时洋葱的「扫码」登录方式既能保护安全,操作也更加便捷。

那么洋葱的安全如何保护?除了手势密码,洋葱也支持人脸、声纹和指纹密码解锁洋葱,从而保证洋葱客户端的安全。

对于还不支持扫码登录的网站,洋葱的「动态验证码」支持 Google、Microsoft、Amazon、Facebook、小米、Dropbox、Evernote、GitHub 等网站二次登录验证(六位数字动态口令),通过扫一扫即可添加。如果刚巧手机没有网络,6 位洋葱验证码也可以用来登录关联网站。

如果你是开发者或者企业

「密码学加密算法难学易错」,现有的账号认证体系开发流程十分复杂。不用部署额外服务器和维护、也不用额外的硬件设备或者软件 App,想使用洋葱服务的开发者只需要在主页面上点击「我是开发者」,就能得到 API 文档及 PHP、Python、NodeJS 等语言的 API 调用示例。洋葱提供主流开发语言的 SDK,从布局到调试需要的时间大概在 3 小时左右。

密码这么不安全,干脆就干掉密码吧

如果你是开发者,洋葱提供便捷的设置方法