作者：元氣少女虞喵喵2011 年，中國網(wǎng)民常用十大密碼是：2013 年，全球十大最危險用戶密碼是：到了 2014 年年末購票信息泄露時，123456、1314、520、521 這些數(shù)字還是我國人民最愛

作者：元氣少女虞喵喵

2011 年，中國網(wǎng)民常用十大密碼是：

2013 年，全球十大最危險用戶密碼是：

到了 2014 年年末購票信息泄露時，123456、1314、520、521 這些數(shù)字還是我國人民最愛用的密碼元素。

用 123456 做密碼的人要小心了，還有 iloveyou 這么重要的事兒，放在心里說三遍就好了。

專家不厭其煩的說要在不同的網(wǎng)站用不同的用戶名和密碼，專家還說只用數(shù)字的弱口令不行，一定要符號、數(shù)字、英文大小寫俱全。專家還說，三個月……不，最好一個月?lián)Q一次密碼！這么反人類的規(guī)則，為了信息和財產(chǎn)安全，也為了不在找回密碼上花費太多時間，1Password、LastPass 等密碼保管服務(wù)應(yīng)運而生。

然而就在幾日前，全球最熱門的密碼保管服務(wù)之一 LastPass 發(fā)布警告，攻擊者攻破了運行公司密碼管理服務(wù)的設(shè)備，并盜取了用戶的受保護密碼及其他敏感的數(shù)據(jù)——這是在過去四年中第二次發(fā)生數(shù)據(jù)泄露情況。對了，登錄 LastPass，你還是需要一串主密碼。

來自可汗大學(xué)的古代密碼學(xué)課程入門，能給你一些關(guān)于密碼的啟示

說到底，密碼就是一串你和對方之間共同認定的信息（密碼的表現(xiàn)形式是口令——一串設(shè)定好的字符），歸根結(jié)底是要讓對方知道你是你（你媽是你媽），其他人并不知道這把通向你房間鑰匙的模樣（或者知道了也很難復(fù)制）。而讓每個人記住手中一大串鑰匙的細節(jié)，顯然對每個人來說都不可能。

如果有一把無法被復(fù)制的萬能鑰匙呢？身份證、指紋、虹膜、聲音、你的臉……或者一款叫洋蔥的 App？

洋蔥就是這樣一款用掃碼和生物識別方式解決登錄需求的應(yīng)用，不需要密碼，也就不用擔心密碼泄露。

「使用洋蔥，當你需要登錄、支付或其他類型的賬號認證時，洋蔥會提示你通過手機掃碼、聲紋、指紋或人臉識別完成賬號認證。對于你已經(jīng)開始使用登錄令牌的網(wǎng)站，洋蔥還能做到令牌統(tǒng)一管理，無需單獨為每一個應(yīng)用單獨安裝 app 令牌。」

簡單來說，用戶只要使用洋蔥客戶端將網(wǎng)站賬號同洋蔥客戶端進行關(guān)聯(lián)，此后只需掃描二維碼即可登錄。再也不需要輸入密碼，一部手機就能登錄多個網(wǎng)站賬號。

洋蔥的界面很簡單，只有兩個功能；設(shè)置里可以開啟更多驗證方式

如果一定要究其原理，洋蔥為用戶登錄的每個網(wǎng)站賦予了一串各不相同的加密的字符（有興趣可以查看「哈希值」、「加密加鹽」等詞條），截獲該字符并破解就需要大量時間和計算能力，同時破解后也沒有更多用處——畢竟洋蔥登錄每一個網(wǎng)站使用的都是沒有規(guī)律、并不相同的字符串。

破解密碼是博弈的過程，需要的計算量太多、獲得的價值太少便不會有人「費力不討好」。同時洋蔥的「掃碼」登錄方式既能保護安全，操作也更加便捷。

那么洋蔥的安全如何保護？除了手勢密碼，洋蔥也支持人臉、聲紋和指紋密碼解鎖洋蔥，從而保證洋蔥客戶端的安全。

對于還不支持掃碼登錄的網(wǎng)站，洋蔥的「動態(tài)驗證碼」支持 Google、Microsoft、Amazon、Facebook、小米、Dropbox、Evernote、GitHub 等網(wǎng)站二次登錄驗證（六位數(shù)字動態(tài)口令），通過掃一掃即可添加。如果剛巧手機沒有網(wǎng)絡(luò)，6 位洋蔥驗證碼也可以用來登錄關(guān)聯(lián)網(wǎng)站。

「密碼學(xué)加密算法難學(xué)易錯」，現(xiàn)有的賬號認證體系開發(fā)流程十分復(fù)雜。不用部署額外服務(wù)器和維護、也不用額外的硬件設(shè)備或者軟件 App，想使用洋蔥服務(wù)的開發(fā)者只需要在主頁面上點擊「我是開發(fā)者」，就能得到 API 文檔及 PHP、Python、NodeJS 等語言的 API 調(diào)用示例。洋蔥提供主流開發(fā)語言的 SDK，從布局到調(diào)試需要的時間大概在 3 小時左右。

如果你是開發(fā)者，洋蔥提供便捷的設(shè)置方法

企業(yè)用戶使用洋蔥即可去密碼登錄，防止員工設(shè)定簡單密碼并多人共享后發(fā)生安全事故。同時在涉及支付等請求的關(guān)鍵業(yè)務(wù)上可以使用人臉識別進行二次驗證。即便被「脫褲」（竊取數(shù)據(jù)庫），他人依然無法登陸該系統(tǒng)。

對于個人用戶洋蔥完全免費，而企業(yè)也很少需要付費——洋蔥計劃提供一些商業(yè)接口，如果企業(yè)根據(jù)自己的要求定制企業(yè)級服務(wù)（如內(nèi)部員工管理，權(quán)限控制等），則需要支付一定的費用。

從 5 月中旬投入使用，洋蔥已經(jīng)接入華夏名網(wǎng)、多備份、站長之家、云立方等多家云服務(wù)、域名服務(wù)網(wǎng)站，并將很快接入 Ucloud、新網(wǎng)、蘑菇街內(nèi)網(wǎng)和明道內(nèi)網(wǎng)。

洋蔥的背后是 20 名開發(fā)人員的辛勤努力，設(shè)計之初吳洪聲（奶罩）便要求就算發(fā)生洋蔥被黑這種極端情況，也必須保證用戶的賬號信息安全。

DNSPod 創(chuàng)始人吳洪聲。2012年，騰訊以4000萬元收購 DNSPod 100% 股權(quán)。

沒錯，洋蔥的背后是成功打造了 DNSPod「傳奇」的吳洪聲。比起第一次創(chuàng)業(yè)，吳洪聲選擇了賬號安全這個不太容易解決的需求作為新的創(chuàng)業(yè)目標，并取名為洋蔥——希望賬號如洋蔥的心一般被層層包裹、無比安全。同時他也希望洋蔥能夠成為人們「漫游互聯(lián)網(wǎng)世界中的新身份證」。

洋蔥的國際版 Secken已經(jīng)同步上線，名字來源于「Security Token」的結(jié)合，同時「Sec」也代表「Second」——第二次創(chuàng)業(yè)。一句「Do not trust your password」的 Slogan，正在向這個充滿密碼卻仍不安全的世界宣戰(zhàn)。