密碼這么不安全，干脆就干掉密碼吧

2019-12-21 02:52:03

字體：大中小

來源：轉載

供稿：網友

現在的密碼其實是很不安全的

作者：元氣少女虞喵喵

2011 年，中國網民常用十大密碼是：

密碼這么不安全，干脆就干掉密碼吧

2013 年，全球十大最危險用戶密碼是：

密碼這么不安全，干脆就干掉密碼吧

到了 2014 年年末購票信息泄露時，123456、1314、520、521 這些數字還是我國人民最愛用的密碼元素。

用 123456 做密碼的人要小心了，還有 iloveyou 這么重要的事兒，放在心里說三遍就好了。

專家不厭其煩的說要在不同的網站用不同的用戶名和密碼，專家還說只用數字的弱口令不行，一定要符號、數字、英文大小寫俱全。專家還說，三個月……不，最好一個月換一次密碼！這么反人類的規則，為了信息和財產安全，也為了不在找回密碼上花費太多時間，1Password、LastPass 等密碼保管服務應運而生。

然而就在幾日前，全球最熱門的密碼保管服務之一 LastPass 發布警告，攻擊者攻破了運行公司密碼管理服務的設備，并盜取了用戶的受保護密碼及其他敏感的數據——這是在過去四年中第二次發生數據泄露情況。對了，登錄 LastPass，你還是需要一串主密碼。

來自可汗大學的古代密碼學課程入門，能給你一些關于密碼的啟示

說到底，密碼就是一串你和對方之間共同認定的信息（密碼的表現形式是口令——一串設定好的字符），歸根結底是要讓對方知道你是你（你媽是你媽），其他人并不知道這把通向你房間鑰匙的模樣（或者知道了也很難復制）。而讓每個人記住手中一大串鑰匙的細節，顯然對每個人來說都不可能。

如果有一把無法被復制的萬能鑰匙呢？身份證、指紋、虹膜、聲音、你的臉……或者一款叫洋蔥的 App？

干掉密碼

洋蔥就是這樣一款用掃碼和生物識別方式解決登錄需求的應用，不需要密碼，也就不用擔心密碼泄露。

「使用洋蔥，當你需要登錄、支付或其他類型的賬號認證時，洋蔥會提示你通過手機掃碼、聲紋、指紋或人臉識別完成賬號認證。對于你已經開始使用登錄令牌的網站，洋蔥還能做到令牌統一管理，無需單獨為每一個應用單獨安裝 app 令牌?！?/p>

簡單來說，用戶只要使用洋蔥客戶端將網站賬號同洋蔥客戶端進行關聯，此后只需掃描二維碼即可登錄。再也不需要輸入密碼，一部手機就能登錄多個網站賬號。

密碼這么不安全，干脆就干掉密碼吧 洋蔥的界面很簡單，只有兩個功能；設置里可以開啟更多驗證方式

如果一定要究其原理，洋蔥為用戶登錄的每個網站賦予了一串各不相同的加密的字符（有興趣可以查看「哈希值」、「加密加鹽」等詞條），截獲該字符并破解就需要大量時間和計算能力，同時破解后也沒有更多用處——畢竟洋蔥登錄每一個網站使用的都是沒有規律、并不相同的字符串。

破解密碼是博弈的過程，需要的計算量太多、獲得的價值太少便不會有人「費力不討好」。同時洋蔥的「掃碼」登錄方式既能保護安全，操作也更加便捷。

那么洋蔥的安全如何保護？除了手勢密碼，洋蔥也支持人臉、聲紋和指紋密碼解鎖洋蔥，從而保證洋蔥客戶端的安全。

對于還不支持掃碼登錄的網站，洋蔥的「動態驗證碼」支持 Google、Microsoft、Amazon、Facebook、小米、Dropbox、Evernote、GitHub 等網站二次登錄驗證（六位數字動態口令），通過掃一掃即可添加。如果剛巧手機沒有網絡，6 位洋蔥驗證碼也可以用來登錄關聯網站。

如果你是開發者或者企業

「密碼學加密算法難學易錯」，現有的賬號認證體系開發流程十分復雜。不用部署額外服務器和維護、也不用額外的硬件設備或者軟件 App，想使用洋蔥服務的開發者只需要在主頁面上點擊「我是開發者」，就能得到 API 文檔及 PHP、Python、NodeJS 等語言的 API 調用示例。洋蔥提供主流開發語言的 SDK，從布局到調試需要的時間大概在 3 小時左右。

密碼這么不安全，干脆就干掉密碼吧 如果你是開發者，洋蔥提供便捷的設置方法