干掉你的账号密码!基于时间同步+设备指纹,动态密码应用认证宝试图打造一个身份验证开放平台
身份验证开放平台,或者说统一账号系统——一个无比美好但又迟迟未能实现的理想。许多年前大家就意识到,过多的账号密码已经造成用户网络身份的割裂。但因为种种原因,用户痛点一直没有有效解决。
认证宝则是一款基于时间同步技术+设备指纹的动态密码产品,该产品希望在安全和体验两方面取代传统的“账号+密码”验证。在认证宝的合作网站和应用内,用户可以基于一款App,通过输入动态密码、二维码扫码(体验上与微信网页版的登陆方式类似)的方式进行登录、支付等操作,而不必记忆各种复杂的账号密码。
在时间同步技术上,认证宝与我们之前介绍过的手机密令相同:在本地和服务器上并行运算同一套算法,时间作为唯一的变量。只要本地时间和服务器时间在一定误差内,两者得出的密码序列就是一致的。这样用户手机即使在离线状态也能进行验证(当然要不定期在线同步一下时间),而且密码每隔50或60秒就更新一次,理论上暴力破解几乎不可能。
而与手机密令的最大不同是,认证宝在时间同步外还采集了你的设备指纹。在认证宝初次安装时,系统会收集设备唯一标识、mac地址、屏幕信息等设备特征并备份到云端。即使用户进行了刷机,系统也能对设备做出识别,这样就等于用该设备替代了用户身份。同时,由于每台设备都与App序列号唯一对应,用户无论怎么装卸App都不会影响使用。当然,如果手机丢失,还是需要用户主动去解除账号和手机的绑定。
针对开发者,认证宝提供了一组认证和推送接口。接入认证宝服务后,用户将可以使用认证宝App(或定制App)在你的产品内进行验证,并通过推送及时接收账号状态(包括账号异常)。如果开发者对第三方验证存有疑虑,也可以选择私有化部署。在认证宝下一个版本中,将会允许用户完成一些简单的上行操作,比如商品购买、消费确认等等。
不过,根据以往经验,这类重整合的产品在推广上一般会比较困难(既要整合B端,又要整合C端),手机密令背靠淘宝这颗大树、上市3年也才做了500万活跃用户。在认证宝团队看来,整个市场还处在教育阶段。一方面开发者对安全性的认识不够,另一方面普通大众也对身份验证产品缺乏认知,而市面上已经存在的验证方式也分流了潜在用户(比如短信验证,虽然有安全缺陷,但还算好用)。
但对于这类产品的前景,认证宝团队则十分看好:在云服务、游戏、电商等领域,都可以有比较广泛的使用场景。由于团队人手不足,认证宝目前的销售对象集中在云服务提供商,未来产品会在两条线发展:
1、基于认证开放平台,提供应用增值服务。
2、做企业版,提供企业员工权限管理,接入企业常用云办公服务。
目前认证宝团队共有6人,均来自互联网安全和云计算行业。该团队正在寻求融资。
AD: 入驻天翼开放平台,专享电信特色稀缺资源[36氪原创文章,作者: 沈超]