-
干掉你的賬號密碼!基于時間同步+設備指紋,動態密碼應用認證寶試圖打造一個身份驗證開放平臺 - 東莞網
發布時間 : 2013-11-21 09:56:43 來源 : 金站網 瀏覽次數 :
- 沈超 發表于 2013/11/19-19:08 認證寶身份驗證開放平臺,或者說統一賬號系統——一個無比美好但又遲遲未能實現的理想。許多年前大家就意識到,過多的賬號密碼已經造成用戶網絡身份的割裂。但因為種種原因,用戶痛點一直沒有有效解決。認證寶則是一款基于時間同步技術 + 設備指紋的動態密碼產品,該產品希望在安全和體驗兩方面取代傳統的“賬號 + 密碼”驗證。在認證寶的合作網站和應用內,用戶可以基于一款 App,通過輸入動態密碼、二維碼掃碼(體驗上與微信網頁版的登陸方式類似)的方式進行登錄、支付等操作,而不必記憶各種復雜的賬號密碼。在時間同步技術上,認證寶與我們之前介紹過的手機密令相同:在本地和服務器上并行運算同一套算法,時間作為唯一的變量。只要本地時間和服務器時間在一定誤差內,兩者得出的密碼序列就是一致的。這樣用戶手機即使在離線狀態也能進行驗證(當然要不定期在線同步一下時間),而且密碼每隔 50 或 60 秒就更新一次,理論上暴力破解幾乎不可能。而與手機密令的最大不同是,認證寶在時間同步外還采集了你的設備指紋。在認證寶初次安裝時,系統會收集設備唯一標識、mac 地址、屏幕信息等設備特征并備份到云端。即使用戶進行了刷機,系統也能對設備做出識別,這樣就等于用該設備替代了用戶身份。同時,由于每臺設備都與 App 序列號唯一對應,用戶無論怎么裝卸 App 都不會影響使用。當然,如果手機丟失,還是需要用戶主動去解除賬號和手機的綁定。針對開發者,認證寶提供了一組認證和推送接口。產品接入認證寶服務后,用戶將可以使用認證寶 App(或定制 App)進行身份驗證,并通過推送及時接收賬號狀態(比如賬號異常)。如果開發者對第三方驗證存有疑慮,也可以選擇私有化部署。在認證寶下一個版本中,將會允許用戶完成一些簡單的上行操作,比如商品購買、消費確認等等。不過,根據以往經驗,這類重整合的產品在推廣上一般會比較困難(既要整合 B 端,又要整合 C 端),手機密令背靠淘寶這顆大樹、上市 3 年也才做了 500 萬活躍用戶。在認證寶團隊看來,整個市場還處在教育階段。一方面開發者對安全性的認識不夠,另一方面普通大眾也對身份驗證產品缺乏認知,而市面上已經存在的驗證方式也分流了潛在用戶(比如短信驗證,雖然有安全缺陷,但還算好用)。但對于這類產品的前景,認證寶團隊則十分看好:在云服務、游戲、電商等領域,都可以有比較廣泛的使用場景。由于團隊人手不足,認證寶目前的銷售對象集中在云服務提供商,未來產品會在兩條線發展:1、基于認證開放平臺,提供應用增值服務。2、做企業版,提供企業員工權限管理,接入企業常用云辦公服務。目前認證寶團隊共有 6 人,均來自互聯網安全和云計算行業。該團隊正在尋求融資。東莞網絡公司
