5
本文作者: 史中 | 2016-04-28 21:13 |
你的支付寶支付密碼、你的草榴登陸密碼、你的指紋、你的銀行卡號(hào)和取款密碼。從本質(zhì)上來(lái)說(shuō),這些都是秘密。這些秘密對(duì)你來(lái)說(shuō)意義重大:因?yàn)闊o(wú)法和對(duì)方面對(duì)面,所以只要你能說(shuō)出這個(gè)秘密,對(duì)方就承認(rèn)“你是你”。
講真,你和你的秘密相處,從來(lái)沒(méi)有如此劍拔弩張。有一個(gè)壞消息:你要記憶的密碼多如牛毛,還有一個(gè)更壞的消息,隨著年齡增長(zhǎng),你的記憶越來(lái)越差。
如果你膽敢在所有平臺(tái)使用相同的密碼,那么一旦你的信息在一個(gè)平臺(tái)上泄露,黑市里立刻可以出現(xiàn)你所有平臺(tái)的信息。在解決這件事上,無(wú)疑是存在商機(jī)的。做這件事的思路似乎只有一個(gè),那就是把密碼統(tǒng)一管理起來(lái)。
例如“洋蔥令牌”,他們?cè)谧龅氖虑榫褪前涯愕拿艽a統(tǒng)統(tǒng)裝進(jìn)一個(gè)箱子,由專人來(lái)掌管,你只需要用密碼或者指紋或者你的臉開(kāi)啟洋蔥就好。
而騰訊的思路,是把所有的密碼放進(jìn)一塊芯片,然后讓你戴在手上。這就是他們剛剛發(fā)布的“QKey”手環(huán)。
團(tuán)隊(duì)把他們能想到的秘密幾乎都塞進(jìn)去了。QKey負(fù)責(zé)人申子熹向雷鋒網(wǎng)介紹:
你可以用手環(huán)登陸網(wǎng)站或 App。
你可以把銀行卡的U盾“Copy”進(jìn)手環(huán)里,它可以當(dāng)作U盾使用。
你可以把銀行閃付卡、公交卡和飯卡導(dǎo)入手環(huán)里,可以實(shí)現(xiàn)替代。
當(dāng)然這個(gè)手環(huán)還有和類似產(chǎn)品同樣的的健康記錄功能。
如果在量產(chǎn)產(chǎn)品中,各項(xiàng)用戶體驗(yàn)都順滑的話,它確實(shí)可以幫你省掉很多的麻煩事。
在和 QKey 相互支持的 App 中,你手上的手環(huán)成為了驗(yàn)證你身份的工具,成為一個(gè)體外的密碼。
目前,移動(dòng)支付安全的最薄弱環(huán)節(jié)在于支付鑒權(quán)與支付端不分離,導(dǎo)致了各種風(fēng)險(xiǎn)的發(fā)生。比如,手機(jī)病毒在后臺(tái)盜取手機(jī)支付驗(yàn)證碼后,立即利用該驗(yàn)證碼盜刷資金。如果支付鑒權(quán)放在一個(gè)并不聯(lián)網(wǎng)的設(shè)備上,就可以杜絕手機(jī)病毒竊取驗(yàn)證碼的危險(xiǎn)發(fā)生。
申子熹這樣解釋制造這個(gè)手環(huán)的初衷。
【Everykey】
其實(shí),類似的產(chǎn)品在國(guó)外已經(jīng)存在。例如一款名為“Everykey”的手環(huán),也是以硬件密碼作為核心功能。
到這里,很多童鞋都會(huì)問(wèn):“從理論上來(lái)說(shuō),這個(gè)玩意安全嗎?”
“絕對(duì)安全是一個(gè)哲學(xué)命題,”申子熹說(shuō),“這個(gè)硬件鑒權(quán)設(shè)備肯定會(huì)優(yōu)于大部分加密方式。在現(xiàn)有的攻防手段下,QKey能夠保護(hù)大多數(shù)用戶的安全?!?/p>
其實(shí),這個(gè)結(jié)論也不難理解。畢竟花了這么多錢購(gòu)買了專業(yè)的安全手環(huán),安全性理應(yīng)得到指數(shù)級(jí)的提升。
那么,現(xiàn)在我們來(lái)做一個(gè)假設(shè),如果這個(gè)鑒權(quán)手環(huán)被人偷走,豈不是損失慘重嗎?QKey給出的解決方案是:當(dāng)手環(huán)探測(cè)到手環(huán)有一瞬間脫離手腕,就會(huì)自動(dòng)鎖定,需要你的手機(jī)授權(quán)才可以再次使用。
好的,現(xiàn)在假設(shè)壞人把你的手機(jī)和手環(huán)都偷走了。申子熹介紹,在每一個(gè)QKey售出時(shí),都會(huì)搭配唯一的機(jī)器碼和令牌,用戶可以使用這個(gè)令牌在服務(wù)器上做掛失處理,此時(shí)手環(huán)將會(huì)失效。
【QKey】
對(duì)于這個(gè)手環(huán)的顏值,口味不同評(píng)價(jià)也不一。但是,有一點(diǎn)毫無(wú)疑問(wèn), 這個(gè)手環(huán)的用戶必須養(yǎng)成佩戴的習(xí)慣。如果你真的依靠這個(gè)手環(huán),一旦有一天你忘記佩戴,那將是一個(gè)災(zāi)難。
另外,以微信為例。在支持手環(huán)登陸的同時(shí),當(dāng)然也可以用密碼登錄。此時(shí)傳統(tǒng)密碼被泄露的風(fēng)險(xiǎn)依然存在。不過(guò),從理論上來(lái)講,如果類似鑒權(quán)手環(huán)的生態(tài)建立,用戶會(huì)大大降低輸入密碼的次數(shù)。這時(shí),用戶們就可能會(huì)選擇使用極其復(fù)雜的密碼,甚至可以在不同的平臺(tái)設(shè)置完全不同的密碼。
正是因?yàn)檫@類手環(huán)擁有很高的安全性 ,用戶會(huì)天然依賴這些設(shè)備。而如果這類手環(huán)被黑客攻擊,災(zāi)難可能會(huì)更加猛烈。當(dāng)然,在鑒權(quán)硬件生態(tài)建立以前,出于經(jīng)濟(jì)效益的原因,并不會(huì)有大量的黑客進(jìn)行攻擊研究。而假設(shè)QKey類鑒權(quán)硬件可以如愿普及,想必又會(huì)在黑客和安全研究員間掀起新的攻防軍備競(jìng)賽。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。