作者：元?dú)馍倥葸鬟?011 年，中國(guó)網(wǎng)民常用十大密碼是：2013 年，全球十大最危險(xiǎn)用戶密碼是：到了 2014 年年末購(gòu)票信息泄露時(shí)，123456、1314、520、521 這些數(shù)字還是我國(guó)人民最愛

作者：元?dú)馍倥葸鬟?/p>

2011 年，中國(guó)網(wǎng)民常用十大密碼是：

2013 年，全球十大最危險(xiǎn)用戶密碼是：

到了 2014 年年末購(gòu)票信息泄露時(shí)，123456、1314、520、521 這些數(shù)字還是我國(guó)人民最愛用的密碼元素。

用 123456 做密碼的人要小心了，還有 iloveyou 這么重要的事兒，放在心里說三遍就好了。

專家不厭其煩的說要在不同的網(wǎng)站用不同的用戶名和密碼，專家還說只用數(shù)字的弱口令不行，一定要符號(hào)、數(shù)字、英文大小寫俱全。專家還說，三個(gè)月……不，最好一個(gè)月?lián)Q一次密碼！這么反人類的規(guī)則，為了信息和財(cái)產(chǎn)安全，也為了不在找回密碼上花費(fèi)太多時(shí)間，1Password、LastPass 等密碼保管服務(wù)應(yīng)運(yùn)而生。

然而就在幾日前，全球最熱門的密碼保管服務(wù)之一 LastPass 發(fā)布警告，攻擊者攻破了運(yùn)行公司密碼管理服務(wù)的設(shè)備，并盜取了用戶的受保護(hù)密碼及其他敏感的數(shù)據(jù)——這是在過去四年中第二次發(fā)生數(shù)據(jù)泄露情況。對(duì)了，登錄 LastPass，你還是需要一串主密碼。

來自可汗大學(xué)的古代密碼學(xué)課程入門，能給你一些關(guān)于密碼的啟示

說到底，密碼就是一串你和對(duì)方之間共同認(rèn)定的信息（密碼的表現(xiàn)形式是口令——一串設(shè)定好的字符），歸根結(jié)底是要讓對(duì)方知道你是你（你媽是你媽），其他人并不知道這把通向你房間鑰匙的模樣（或者知道了也很難復(fù)制）。而讓每個(gè)人記住手中一大串鑰匙的細(xì)節(jié)，顯然對(duì)每個(gè)人來說都不可能。

如果有一把無法被復(fù)制的萬能鑰匙呢？身份證、指紋、虹膜、聲音、你的臉……或者一款叫洋蔥的 App？

洋蔥就是這樣一款用掃碼和生物識(shí)別方式解決登錄需求的應(yīng)用，不需要密碼，也就不用擔(dān)心密碼泄露。

「使用洋蔥，當(dāng)你需要登錄、支付或其他類型的賬號(hào)認(rèn)證時(shí)，洋蔥會(huì)提示你通過手機(jī)掃碼、聲紋、指紋或人臉識(shí)別完成賬號(hào)認(rèn)證。對(duì)于你已經(jīng)開始使用登錄令牌的網(wǎng)站，洋蔥還能做到令牌統(tǒng)一管理，無需單獨(dú)為每一個(gè)應(yīng)用單獨(dú)安裝 app 令牌?！?/p>

簡(jiǎn)單來說，用戶只要使用洋蔥客戶端將網(wǎng)站賬號(hào)同洋蔥客戶端進(jìn)行關(guān)聯(lián)，此后只需掃描二維碼即可登錄。再也不需要輸入密碼，一部手機(jī)就能登錄多個(gè)網(wǎng)站賬號(hào)。

洋蔥的界面很簡(jiǎn)單，只有兩個(gè)功能；設(shè)置里可以開啟更多驗(yàn)證方式

如果一定要究其原理，洋蔥為用戶登錄的每個(gè)網(wǎng)站賦予了一串各不相同的加密的字符（有興趣可以查看「哈希值」、「加密加鹽」等詞條），截獲該字符并破解就需要大量時(shí)間和計(jì)算能力，同時(shí)破解后也沒有更多用處——畢竟洋蔥登錄每一個(gè)網(wǎng)站使用的都是沒有規(guī)律、并不相同的字符串。

破解密碼是博弈的過程，需要的計(jì)算量太多、獲得的價(jià)值太少便不會(huì)有人「費(fèi)力不討好」。同時(shí)洋蔥的「掃碼」登錄方式既能保護(hù)安全，操作也更加便捷。

那么洋蔥的安全如何保護(hù)？除了手勢(shì)密碼，洋蔥也支持人臉、聲紋和指紋密碼解鎖洋蔥，從而保證洋蔥客戶端的安全。

對(duì)于還不支持掃碼登錄的網(wǎng)站，洋蔥的「動(dòng)態(tài)驗(yàn)證碼」支持 Google、Microsoft、Amazon、Facebook、小米、Dropbox、Evernote、GitHub 等網(wǎng)站二次登錄驗(yàn)證（六位數(shù)字動(dòng)態(tài)口令），通過掃一掃即可添加。如果剛巧手機(jī)沒有網(wǎng)絡(luò)，6 位洋蔥驗(yàn)證碼也可以用來登錄關(guān)聯(lián)網(wǎng)站。

「密碼學(xué)加密算法難學(xué)易錯(cuò)」，現(xiàn)有的賬號(hào)認(rèn)證體系開發(fā)流程十分復(fù)雜。不用部署額外服務(wù)器和維護(hù)、也不用額外的硬件設(shè)備或者軟件 App，想使用洋蔥服務(wù)的開發(fā)者只需要在主頁(yè)面上點(diǎn)擊「我是開發(fā)者」，就能得到 API 文檔及 PHP、Python、NodeJS 等語言的 API 調(diào)用示例。洋蔥提供主流開發(fā)語言的 SDK，從布局到調(diào)試需要的時(shí)間大概在 3 小時(shí)左右。

如果你是開發(fā)者，洋蔥提供便捷的設(shè)置方法

企業(yè)用戶使用洋蔥即可去密碼登錄，防止員工設(shè)定簡(jiǎn)單密碼并多人共享后發(fā)生安全事故。同時(shí)在涉及支付等請(qǐng)求的關(guān)鍵業(yè)務(wù)上可以使用人臉識(shí)別進(jìn)行二次驗(yàn)證。即便被「脫褲」（竊取數(shù)據(jù)庫(kù)），他人依然無法登陸該系統(tǒng)。

對(duì)于個(gè)人用戶洋蔥完全免費(fèi)，而企業(yè)也很少需要付費(fèi)——洋蔥計(jì)劃提供一些商業(yè)接口，如果企業(yè)根據(jù)自己的要求定制企業(yè)級(jí)服務(wù)（如內(nèi)部員工管理，權(quán)限控制等），則需要支付一定的費(fèi)用。

從 5 月中旬投入使用，洋蔥已經(jīng)接入華夏名網(wǎng)、多備份、站長(zhǎng)之家、云立方等多家云服務(wù)、域名服務(wù)網(wǎng)站，并將很快接入 Ucloud、新網(wǎng)、蘑菇街內(nèi)網(wǎng)和明道內(nèi)網(wǎng)。

洋蔥的背后是 20 名開發(fā)人員的辛勤努力，設(shè)計(jì)之初吳洪聲（奶罩）便要求就算發(fā)生洋蔥被黑這種極端情況，也必須保證用戶的賬號(hào)信息安全。

DNSPod 創(chuàng)始人吳洪聲。2012年，騰訊以4000萬元收購(gòu) DNSPod 100% 股權(quán)。

沒錯(cuò)，洋蔥的背后是成功打造了 DNSPod「?jìng)髌妗沟膮呛槁?。比起第一次?chuàng)業(yè)，吳洪聲選擇了賬號(hào)安全這個(gè)不太容易解決的需求作為新的創(chuàng)業(yè)目標(biāo)，并取名為洋蔥——希望賬號(hào)如洋蔥的心一般被層層包裹、無比安全。同時(shí)他也希望洋蔥能夠成為人們「漫游互聯(lián)網(wǎng)世界中的新身份證」。

洋蔥的國(guó)際版 Secken已經(jīng)同步上線，名字來源于「Security Token」的結(jié)合，同時(shí)「Sec」也代表「Second」——第二次創(chuàng)業(yè)。一句「Do not trust your password」的 Slogan，正在向這個(gè)充滿密碼卻仍不安全的世界宣戰(zhàn)。