记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

奶罩:我为啥拒绝雷军在小米手机预装洋葱令牌

2015-07-01 01:40

写在前面的话手机密码、银行卡密码、社交网站密码…假如我们每天输入密码至少五次,每次五秒钟,一年下来,我们浪费在密码输入这件小事上的时间,就相当于看了一场电影大片!关键是…还不安全!想象一下你每次输入密码的时候,眼观六路耳听八方,偷偷摸摸搞得自己像贼一样,这样酷么?!一点都不!浪费时间、不安全还不酷!换个方式吧亲!其实我们需要的,只是把网站和应用集成到洋葱,就可以快速实现在登录、支付、授权等关键业务中使用指纹、声纹及人脸识别功能,从而彻底抛弃传统的账号密码体系了。这才是真正的简约而不简单啊!

谁是奶罩?“奶罩”,洋葱CEO吴洪声,原DNSPod创始人,中国域名行业、安全领域的传奇人物,经过8年的努力,将DNSPod打造成为了中国最大、全球第四的域名服务商,DNSPod也成为了域名解析的代名词。在中国,超过60%的网站在使用DNSPod的服务,每天每个网民至少使用30次以上DNSPod提供的服务。

这是奶罩的新创业项目洋葱对账号安全的一次挑战,无论你用手机、用app、登录电脑上的网页,我们无时无刻不和账号登录打交道,那么我们的账号都安全吗?

账号泄露离你不远

先看一些案例

洋葱1

洋葱1-2

洋葱1-3

账号安全已经成为了困扰整个互联网的安全难题,盗取用户信息也完成了从黑客们的个人行为到有组织、有预谋、有规模的产业链的模式升级,整个链条涵盖了漏洞挖掘、木马植入、社会工程、信息交易、价值转换等众多环节。“12306信息泄漏、小米800万用户数据泄漏、智联招聘86万用户简历泄漏”这些不断发生的“扒库”、“撞库”事件无不让用户和网站如同惊弓之鸟。而面对这些,传统的身份识别方式,只能说是人为刀俎,我为鱼肉,对用户的账号安全起不到任何的作用。每一次重大事故之后,能做的只是亡羊补牢,而可怕的是还有更多的系统还不知道自己的问题。上图是国内知名漏洞通报平台乌云近期的播报,让人触目惊心,不难发现,更多的内部系统已经成为了众矢之的。

洋葱2

随着手机的普及,各大银行、网站和应用为了既方便用户,还同时能够进行二次验证,逐渐把短信验证码升级成了主要验证方式。但是我们知道,明文传输的短信,只是方便了用户,但是却牺牲了安全,短信验证方式只是一种掩耳盗铃的二次验证。它的容易被截取、猜测、攻击和破解的缺陷已经被公认。上图就是众多案例中的一个。

现在的安全登录方式仍漏洞百出

进入计算机时代后,在登录计算机、登录各种网站和应用时,系统为了保障用户的账号安全,都需要对用户进行相应的身份识别。而最重要的身份识别方式主要分为口令和标记两种。

口令:就是大家熟知的密码,而密码不秘密的现状,已经成为了公开的秘密。

标记:个人持有物,如身份证、电子钥匙、U盾、动态令牌等,标记上记录着用于识别的个人信息。正是因为密码的无能,各种个样的标记产品进入了我们的视线,大家都还记得,过去几年,只要去银行开通网银,都需要购买一个银行特制的U盾, 网络游戏公司也相继推出了自己的二次验证令牌。标记方式作为密码的二次验证,逐渐成为了主流,但是由于各大银行、网络公司提供的都是只支持自身系统的二次验证工具,最终造成的尴尬局面就是,当每一个应用都有一个标记物的时候,用户该崩溃了。没有人愿意在身上随身携带着一大堆的各种令牌、U盾,所以账号安全的这块短板依旧成为困扰企业和用户的老大难。

洋葱3

可见,作为身份识别的这两种主要方式,已经无法满足用户更为安全可靠,更为方便宜用的要求,特别是根本无法应对层出不穷的账号被盗问题。

传统的安全厂商陆续提出了一种专门针对私有云中的身份认证与访问控制解决方案。方案使用多种技术和标准协议实现了对云中用户的身份管理和访问控制。通过在企业的入口处部署身份认证应用服务器就可实现对组织信息资产的统一身份认证、授权、身份数据集中管理。很多资金雄厚的企业,迅速选择了这套方案,并在小范围中实现了安全的身份管理和控制。

但是他们都忽略了一个重要的因素,那就是云计算,这套方案脱离了云计算的支撑、得不到大数据的支持、没有广大用户的使用,归根结底只能算一个早产儿,以为通过高高的围墙能够让自己独善其身,殊不知互联网如同U型管,安全水位高低并非取决于单个管道的高低。所以把互联网账号安全寄托在这些以项目销售为目的的传统安全厂商身上,结果是不乐观的。

新的安全方式是如何避免以上问题的?

不能保证安全的身份识别不是好方法!

我的账号安全到底如何才能真正的安全?

请允许我介绍“洋葱”给你,虽然它不是蔬菜,但未来它将像蔬菜一样成为你的生活必需品。

优秀的产品理念

·优秀的执行力

·持之以恒的专注精神

汪华跟洋葱的CEO吴洪声相识已久却是初次见面。不久前,吴洪声刚刚拒绝了雷军的投资,虽然后者开出了小米手机全部预装洋葱的诱人条件,但吴洪声拒绝了。

当问及为何离开腾讯时,吴洪声笑着说:“我从来就没在腾讯呆过,DNSPod是独立的。腾讯不适合我,我想我就是只能创业的苦逼命。除了创业,除了再做一个牛逼的产品,我别无选择!”

“这次想做什么呢?”

“我要推翻万恶的账号密码体系!”吴洪声想都没想的答道。“太多用户,在不同的网站都用着同样的用户名和密码,太多的网站和应用在疯狂发展自己用户的同时,完全忽略了保护用户的账号,其实他们也没有这个时间和能力保护,因为一个用户的账号被盗了,从业务来说只是客服的问题,不是技术问题,事情闹大了,也只是个公关的问题。所以,我想用我多年为开发者、企业提供业务支撑的经验,开发一个崭新的账号认证系统,有了这个系统,开发者、企业,只要通过我们的平台,就能轻松为自己的账号体系增加全新的认证识别方式。”

对于国外是怎么解决这个问题,吴洪声给出了自己的答案:“国外现在最主流的,也是应用范围最广的,就是Google的二次验证动态密码。从我来看,这是一个用户体验极差的产品,我个人就用了好多年,除了吐槽,也别无选择,我想国外用户应该也是这样的感觉。所以在体验为王的当今中国,Google这套验证体系一直得不到推广,难用、用户不懂用,是最主要的原因。像新浪、小米其实早就推出来了,但是开启量屈指可数。”

在会面的最后,汪华开玩笑地说:“新浪、小米都没做好的事情,你觉得你能做好?”

“当然!我研究过Google这套体系的很多不足,所以我推出的产品不仅要兼容Google,还要弥补它,同时还提供比它更为强大可靠的识别认证方式。我相信,有了洋葱,以后再也不会有XXX网站被拖库,几百万用户信息泄漏的新闻了。”

一席谈话,创新工场和吴洪声最终选择了对方,雄厚的资金加上天才的产品设计,洋葱的产品也在6个月后推出了第一个版本,并在一个月的公测期间,迅速得到了超过20家云服务商的集成测试。

作为成功打造了DNSPod的吴洪声,选择了一个看上去并不容易的事情作为自己的二次创业目标,那就是账号安全问题。他给自己的产品取名“洋葱”,他想让账号如同洋葱的心一般,被层层包裹起来。作为手机达人的他,还将赋予手机新的使命,就是让洋葱成为人们漫游互联网世界中的身份证。如今,洋葱以每个月两次升级的速度,在逐步接近着吴洪声心目中的终极目标。

洋葱的安全原理

一句话说,洋葱是一个基于云和用户生物特征的身份验证服务。网站和应用通过集成洋葱,就可以快速实现在登录、支付、授权等关键业务中使用指纹、声纹及人脸识别功能,从而彻底抛弃传统的账号密码体系。

对个人用户而言,访问集成洋葱服务的网站和应用将无需记住账号密码,而是直接使用生物特征验证来提高账号安全性,无需担心账号被盗。

洋葱为网站、应用开发者准备了极简的API接口:

洋葱4

洋葱为用户提供了极致的使用体验:

洋葱5

洋葱6

洋葱7

洋葱8

洋葱9

洋葱10

洋葱11

数据说话 用洋葱到底安全了多少?

一、华夏名网:

全国十强IDC服务商, 接入洋葱后,短短一个月内,超过3000个用户开启了洋葱登录,洋葱为这些用户提供了近2万次安全扫码登录。 从华夏名网的客服统计,接入洋葱后,因忘记密码、账号被盗的投诉,减少了近50%

洋葱12

二、纷云:

Worktile团队最新出品,洋葱作为纷云系统创新的登录功能,要求纷云的团队成员,都需要通过扫码才能加入及登录团队,据统计,在纷云还在试用期期间,开启洋葱扫码登录的团队已经超过50家,洋葱已经为总计超过500人的各团队成员提供安全登录。

三、联拓金融BOSS系统:

国内首家面向中小企业的独立第三方资金管理平台。为了保障资金安全,平台的BOSS系统接入了洋葱,后台近80名人员全部改为扫码登录,包括公司管理层,系统管理员、财务人员等,扫码登录上线半个月来,系统再也没发生撞库攻击,并完全杜绝了因员工密码泄漏导致的账号被非法登录的情况。

知识来源: www.ijiandao.com/safe/it/14886.html

阅读:99380 | 评论:0 | 标签:业界 奶罩 密码验证 洋葱

想收藏或者和大家分享这篇好文章→复制链接地址

“奶罩:我为啥拒绝雷军在小米手机预装洋葱令牌”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云