2011年12月，CSDN爆出泄密門(mén)事件，600萬(wàn)明文的用戶(hù)密碼數(shù)據(jù)庫(kù)在網(wǎng)絡(luò)上流傳。

2014年5月，小米社區(qū)800萬(wàn)用戶(hù)密碼數(shù)據(jù)泄露后被放出。

時(shí)隔3年多，我們的網(wǎng)絡(luò)環(huán)境安全并沒(méi)有變得更好，密碼泄露事件依然時(shí)不時(shí)的傍著國(guó)內(nèi)大的互聯(lián)網(wǎng)公司傳播。唯一正向變化的可能是知情權(quán)吧，在第三方漏洞報(bào)告平臺(tái)上，越來(lái)越多的管理后臺(tái)弱口令問(wèn)題被曝光，大家可以更直觀的看到自己的個(gè)人資料是被怎樣的保護(hù)著。

有沒(méi)有可能，改變這種現(xiàn)狀？站長(zhǎng)圈的傳奇人物奶罩決定站出來(lái)，他的二次創(chuàng)業(yè)項(xiàng)目“洋蔥”（www.yangcong.com）就是要死磕用戶(hù)密碼安全。

“ 只要網(wǎng)站和用戶(hù)用了這個(gè)產(chǎn)品，即使網(wǎng)站數(shù)據(jù)庫(kù)被盜，或者用戶(hù)使用了簡(jiǎn)單如123456這樣的密碼，黑客也無(wú)法登錄他的賬號(hào)?！彼f(shuō)。

奶罩，原名吳洪聲，DNSPod創(chuàng)始人。DNSPod是國(guó)內(nèi)最大的域名解析服務(wù)商，有超過(guò)60%以上的網(wǎng)站在使用其服務(wù)。國(guó)內(nèi)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施一向落后于海外，DNSPod是為數(shù)不多能在全球范圍保持領(lǐng)先的服務(wù)之一。

二次驗(yàn)證器

洋蔥是一個(gè)怎樣的服務(wù)呢？分為兩部分講，一是驗(yàn)證器，二是萬(wàn)能登錄。 

熟悉Google、Linode賬號(hào)的人會(huì)知道，它們有一個(gè)“二次驗(yàn)證”功能，開(kāi)啟后在非信任設(shè)備上登錄，除了密碼外還需要輸入一個(gè)額外的驗(yàn)證碼。這個(gè)驗(yàn)證碼由算法生成，每30s自動(dòng)變換一次。

國(guó)內(nèi)的QQ、支付寶也有類(lèi)似服務(wù)，分別在QQ安全中心、支付寶寶令里。另外，網(wǎng)銀U盾其實(shí)就是硬件版的二次驗(yàn)證工具，不過(guò)只在付款時(shí)才用到。 

Google開(kāi)源了自己的二次驗(yàn)證協(xié)議，業(yè)內(nèi)不少公司都是基于此構(gòu)建的服務(wù)，比如Linode、Evernote、Amazon AWS、國(guó)內(nèi)的小米等。洋蔥的驗(yàn)證器服務(wù)也是基于Google協(xié)議搭建的，大家的接口一致，驗(yàn)證碼可由同一個(gè)App管理。

來(lái)看看洋蔥是怎么做的：2C，它是一款A(yù)pp，可以管理自家的二次驗(yàn)證碼，也可以管理其它家的；2B，它可以為BAT之下的互聯(lián)網(wǎng)公司提供驗(yàn)證服務(wù)，成為一種通用接口。

洋蔥App里，綁定了諸多帳號(hào)的驗(yàn)證器

洋蔥的聯(lián)合創(chuàng)始人馬一凌告訴雷鋒網(wǎng)：“因?yàn)檎麄€(gè)團(tuán)隊(duì)都專(zhuān)注在這款產(chǎn)品上，我們的服務(wù)比大家自己做更好。比如安全性，很多團(tuán)隊(duì)可能一兩人盯著，沒(méi)人的情況也常見(jiàn)；再比如體驗(yàn)，二次密碼輸入是個(gè)麻煩的過(guò)程，基于現(xiàn)在智能設(shè)備收集的環(huán)境數(shù)據(jù)，我們可以做到更自然的驗(yàn)證?！毖笫[App目前提供了可信Wi-Fi驗(yàn)證、指紋識(shí)別、人臉識(shí)別等。

萬(wàn)能登錄 

僅僅“非信任設(shè)備上的二次驗(yàn)證碼”，是可以保證用戶(hù)帳號(hào)安全，但格局受限，用戶(hù)體驗(yàn)也沒(méi)法打通。

洋蔥的想象力在“萬(wàn)能登錄”部分，官方稱(chēng)之為基于云和生物特征的用戶(hù)身份驗(yàn)證識(shí)別服務(wù)。在App端呈現(xiàn)的是“安全掃一掃”模塊。

進(jìn)入App的界面，“安全掃一掃”占據(jù)著最顯眼的位置

馬一凌說(shuō)：“你看到不少網(wǎng)站、論壇，登錄界面上有‘用微信登錄’、‘用微博登錄’，未來(lái)那里還會(huì)出現(xiàn)洋蔥登錄?！毖笫[登錄的體驗(yàn)和微信類(lèi)似，都是通過(guò)掃描二維碼。

可能你會(huì)覺(jué)得異想天開(kāi)，一個(gè)籍籍無(wú)名的產(chǎn)品，卻想著做通用帳號(hào)體系，但這并非不可能，尤其是在細(xì)分市場(chǎng)。

“我們的優(yōu)勢(shì)在于更專(zhuān)注，洋蔥以此為生。你看，我們現(xiàn)在移動(dòng)端已經(jīng)做了跨平臺(tái)的支持，但QQ、支付寶在Windows Phone上的二次驗(yàn)證功能還是缺失的。我們有數(shù)十號(hào)研發(fā)來(lái)做帳號(hào)安全體系，即使對(duì)那些規(guī)模較大的公司，這種投入也只會(huì)在關(guān)鍵業(yè)務(wù)上，帳號(hào)顯然只是一個(gè)小環(huán)節(jié)?！瘪R一凌表示。他還透露，洋蔥已經(jīng)在接入U(xiǎn)Cloud、華夏名網(wǎng)、新網(wǎng)、站長(zhǎng)之家等網(wǎng)站服務(wù)平臺(tái)的帳號(hào)體系，并提供安全驗(yàn)證服務(wù)。

作為合作方，UCloud的接口人方勇向雷鋒網(wǎng)表示，他看到洋蔥的第一印象是“ 一個(gè)能幫助企業(yè)解決業(yè)務(wù)安全問(wèn)題的產(chǎn)品?！盪Cloud會(huì)在登錄等敏感流程引入洋蔥，并向其用戶(hù)推薦。

“說(shuō)騰訊不懂企業(yè)有些過(guò)分，但事實(shí)確實(shí)如此?！币晃唤咏v訊的匿名人士表示，“它有些企業(yè)產(chǎn)品確實(shí)不錯(cuò)，但銷(xiāo)售全部外包出去，這怎么玩？倒是廣州的微信，在企業(yè)市場(chǎng)做的不錯(cuò)，愿意開(kāi)放數(shù)據(jù)?！?/p>

洋蔥也是典型的明星創(chuàng)業(yè)團(tuán)隊(duì)，因創(chuàng)新工場(chǎng)合伙人汪華看重奶罩的個(gè)人經(jīng)歷，天使輪就投了上千萬(wàn)。創(chuàng)新工場(chǎng)對(duì)接投后管理的姜證嚴(yán)對(duì)雷鋒網(wǎng)說(shuō)：“只要洋蔥能在整個(gè)市場(chǎng)占據(jù)10%份額，就算局面打開(kāi)了?！?/p>

無(wú)密時(shí)代

但這需要時(shí)間，而且可能是很漫長(zhǎng)的時(shí)間。

“盡管有DNSPod的積累和奶罩的人脈，但想打開(kāi)局面還需要等待時(shí)機(jī)，我們需要把使用洋蔥變成一種風(fēng)潮。”馬一凌說(shuō)。

究其原因，在國(guó)內(nèi)從事互聯(lián)網(wǎng)，安全并非第一要?jiǎng)?wù)，也沒(méi)有那沒(méi)多懂安全的技術(shù)和運(yùn)營(yíng)人員。

面臨這種窘境的還有Mozilla Persona和FIDO聯(lián)盟，以及更早的先烈們。Mozilla設(shè)想，瀏覽器可以幫助驗(yàn)證，用戶(hù)只需要輸入自己的Email就行了，但這一方案背后，是超乎想象復(fù)雜的技術(shù)，Mozilla無(wú)力推動(dòng)；FIDO則是強(qiáng)調(diào)生物識(shí)別和可信硬件，鑒于其可選項(xiàng)過(guò)多，目前推薦標(biāo)準(zhǔn)還只到認(rèn)證方法，到交互和識(shí)別技術(shù)還需要不少時(shí)間。

生物識(shí)別也有其問(wèn)題。目前在市場(chǎng)上做的最好的是蘋(píng)果的指紋識(shí)別，對(duì)于盜用問(wèn)題它也無(wú)能無(wú)力，只能說(shuō)加緊管控App Store。

最先讓我們體驗(yàn)到無(wú)密時(shí)代的，還是Google、FB、QQ這些數(shù)億乃至十?dāng)?shù)億用戶(hù)量的帳號(hào)體系。

馬一凌說(shuō)：“盡管有很多想象空間，我們現(xiàn)在的首要目標(biāo)，仍然是做出一款好用的第三方驗(yàn)證器。對(duì)于那些有大量海外重要帳號(hào)的用戶(hù)群體而言，換手機(jī)時(shí)一個(gè)個(gè)的重新安裝重新驗(yàn)證真的很麻煩，他們?cè)缇筒荒蜔┝耍笫[初期希望抓住這群用戶(hù)的心?！?/p>

“我無(wú)法預(yù)計(jì)爆發(fā)期，所以只能更多去做好當(dāng)下?！?/p>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。