密码泄露时,拿什么证明我是谁?

密码泄露时,拿什么证明我是谁?

洋葱的创始人吴洪声,在圈内小有名气,他的 ID 是奶罩,之前他创造了名为 DNSPod 的 DNS 服务,并以 4000 万人民币的价格卖给了腾讯。

这次他做了一个全新的产品,这个产品可以归类为 IAM(Identity and AccessManagement),即用户识别与登陆服务。

产品最大的特点是能够通过生物识别信息,例如你的指纹、声音和面部,识别登陆到网站。从而省去了之前的传统账号密码体系。

干掉账号和密码

大声对着洋葱说出密码,或者像扫二维码一样扫一扫自己的脸,这就是洋葱的使用过程。

使用洋葱,当你需要登录、支付或进行其他类型的账号认证时,洋葱会提示你通过手机扫码、声纹、指纹或人脸识别完成账号认证。

洋葱最直接的竞争对手或者说相似的产品是 Google Authenticator,它提供两步验证的方式登陆。不过对洋葱来说,生物识别把两步验证变的更加简单,用户也能拓展出更多的应用场景。除了网站登陆服务,未来洋葱可能做到在门禁,甚至汽车等更广平台上的登陆。

洋葱的初衷就是替代掉 Google 的二次验证。吴洪声和团队当时就想有没有更加方便的方式把这种服务替代掉——不需要输入任何东西,简单的确认就可以做一个验证。

为密码做加法

「密码的本质只是用来证明你就是你的工具」吴洪声认为。

但即使密码和账号匹配后,出现特殊情况,密码并不能帮助用户解决问题。比如密码泄露,像 LastPass 这样比较出名的密码加密软件也出现过泄露事件

此外,比如装着 Google Authenticator 的手机丢了;再比如输入密码超时,实时密码失效也会带来操作难度。

既然账户密码就是一个标签,这个标签是随便可以被拷贝走的,有没有更好的方式证明“我就是我”?

为什么不能拿你的身体证明你就是你呢?最有效证明自己的就是生物信息。

洋葱开始想了很多东西,比如用户手头的小物件或者特定的环境和场景,最后发现最有效的方式就是生物信息,比如脸、声音和指纹。这些会跟着你一辈子,是你独有,无法复制和被拿走的。

新版的洋葱,就加入进了人脸、指纹和声音的识别。

但洋葱认为这还不是最安全的,比如当你喝醉酒睡着,你的脸也可能会被别人拍到。洋葱又加入一个地点维度,比如你的家或者公司,以此证明你正在安全的地方。

洋葱不会存储用户的原始数据,只存储一个经过特定算法算出来的结果。在每一次匹配的过程里,把用户的原始信息通过算法算成结果,再做一个结果匹配。从而保证即便数据被泄露了,也不会造成数据被别人盗走。

为密码做减法

随着功能的叠加,吴洪声逐渐发现洋葱已经不单纯是一个登陆的「令牌」,在不断做加法的情况下,洋葱开始反思做减法。

有客户找到洋葱提建议:「希望把洋葱的识别方法整合到自己的 App 里,不用打开洋葱的 App 就能验证。」

这可能是一个新的方向,洋葱的核心技术是验证能力,如果把技术包装成一个 SDK 产品,就可以把生物识别个性化的装在更多 App 里,或者一些敏感的流程中,比如资金转账、位置验证。甚至企业员工的离职、内网登陆、公司运维等。

洋葱把这种能力打包成私有云服务提供给企业,员工可以拿自己的手机设备加一个登录步骤,通过洋葱的管理平台登陆企业内网。

从去年 10 月到现在,洋葱经历了不断做加法,再到做减法的过程。

生物识别是密码的未来,支付宝和微信已经采用生物识别开始验证身份。吴洪声觉得:「未来传统的账号密码一定会被生物信息取代。密码已经走过很长时间,不再适用于未来场景,明天是生物验证的天下。」

(本文根据洋葱创始人奶罩吴洪声在极客公园未来头条——发现改变力的演讲综合整理)

下载极客公园客户端
iOS下载
反馈