如今，我们无时无刻不在和密码打交道，手机密码、银行卡密码、支付宝密码…据统计，除了浪费大量脑细胞来区分和记住这些密码，关键是…还不安全！想象一下你每次输入密码的时候，眼观六路耳听八方，偷偷摸摸搞得自己像贼一样，这样酷么？！一点都不！浪费时间和精力、不安全还不酷！

有没有可能，改变这种现状？站长圈的传奇人物奶罩决定站出来，带来他的二次创业项目“洋葱”。

谁是奶罩？

“奶罩”，洋葱CEO吴洪声，原DNSPod创始人，中国域名行业、安全领域的传奇人物，经过8年的努力，将DNSPod打造成为了中国最大、全球第四的域名服务商，DNSPod也成为了域名解析的代名词。在中国，超过60%的网站在使用DNSPod的服务，每天每个网民至少使用30次以上DNSPod提供的服务。

这是奶罩的新创业项目洋葱对账号安全的一次挑战，无论你用手机、用app、登录电脑上的网页，我们无时无刻不和账号登录打交道，那么我们的账号都安全吗？

“只要网站和用户用了这个产品，即使网站数据库被盗，或者用户使用了简单如123456这样的密码，黑客也无法登录他的账号。”他对媒体说。

1.请简要介绍一下洋葱这款产品？

洋葱是一项基于云和生物识别技术的身份验证服务，在需要身份验证的环节用安全、合适的方式验证用户本人身份，简单来说就是“认人”。因为目前账号安全形势很严峻，因此很多企业、网站用户选择洋葱的验证功能来解决密码泄露等账号安全问题，而洋葱也正好能很好的解决这一问题。 

2.洋葱作为此次WitAwards互联网安全年度评选年度安全产品提名中唯一的手机端产品，觉得自身有什么脱颖而出的优势？

人们在使用一款产品的时候，很少会关心它到底是个什么端的产品，而是先考虑能不能解决他们的问题，洋葱能够通过生物识别技术帮助企业、开发者、网站解决账号安全、业务流程的身份验证等等问题，所以人们选择用洋葱，这本身就是个脱颖而出的优势，只不过碰巧洋葱是个手机端产品而已。

3.过去一年里，洋葱做了哪些工作或成绩？

近两年是生物识别技术的爆发期，“刷脸时代”这一类的新闻特别火热，这是以后的发展趋势，而洋葱正努力推动着“刷脸时代”的到来。

过去一年，洋葱做了三件事情：

第一，通过公有云产品也就是洋葱APP，帮助许多网站用户解决了账号安全问题；
第二，通过洋葱SDK，帮助移动应用快速集成生物验证功能。目前很多大公司都已开始使用生物识别技术，例如支付宝、微信、手机百度,但对于普通开发者来说门槛还是太高，而洋葱推出SDK后，让这项技术不再只有大公司才能驾驭，普通开发者可以很方便的在自己的APP中实现生物识别功能来解决账号安全问题或提升用户体验——降低了生物识别技术的使用门槛。
第三，通过洋葱IAM（身份验证和权限管理系统）帮助企业解决内网账号问题，员工使用弱口令、密码共享、账号密码不统一、离职员工权限撤销困难……这些都是困扰许多企业的疑难杂症。企业内网安全不同于个人，员工泄露的公司账号密码牵扯到整个公司的内网安全，而洋葱能够做到让企业无需购买任何硬件设备就可以使用生物识别技术来保障员工账号安全，并且将内网权限统一管理。

4.现在移动安全的形式越来越严峻，除了双因素认证，靠一键登录、二维码登录、多维检测或者智能监控能否彻底改变现在的严峻事实，不能解决的问题又在哪里？

在做安全时一定要兼顾使用的便捷性，举个例子，所有人都知道弱口令不安全，那为什么还那么多人用呢？因为密码太长了记不住，输入麻烦，所以很多人倾向于选择记得住的密码 ，尽管不那么安全。

同样的，在移动端使用六位数动态码就很不方便，需要频繁切换软件；使用手机短信验证需要等待，有时候还收不到，这一系列的繁琐，就会让人们依然倾向于更简单的方式，尽管真的不那么安全。

所以就移动应用的账号安全来说，我认为在某种程度上双因素认证、一键登录、二维码登录是可以解决现有安全问题的，起码能够大幅提高安全性，但真正的问题就在于这些方式如何做到好用易于接受，否则再安全没人愿意去用也是白搭，而生物识别的优点就在这，刷个脸，按一下指纹一秒完成验证，比起动态口令，手机短信什么的不仅更安全，体验也更好，并且生物识别技术也正不断发展，变得越来越好用。 

5.作为dnspod创始人奶罩再次创业推出的产品，有哪些之前成功的产品或运营经验会对洋葱带来帮助？ 

从用户出发，解决用户的问题——DNSPod最开始做的时候是解决南北网络互通的问题，后来不断为用户解决稳定性、承受能力、访问速度的需求以及其他用户体验问题，才慢慢做大的，同样，洋葱也是基于帮助人们解决身份验证和账号安全的痛点来做的，至于密码被盗和忘记密码这个痛点有多痛，我想大家都深有体会。 

6.微信等都提供了移动登录的方式，洋葱作为创业公司产品，如何面对巨头的竞争？

就洋葱APP和微信的扫码登陆对比，关注的重点不一样，中间的差异还是很大的。洋葱要做的是帮助人们解决账号安全问题，比微信的扫码登陆多了生物验证、位置、行为识别等功能，可以确保是你本人操作，保证安全性。如果你是为了登陆一个无关紧要的网站，用哪个都一样，但如果你对安全需求高的话，更适合用洋葱。

目前微信也是用账号密码进行登陆，这就意味着只要你的微信号被盗了，他人就可以使用你的微信去登陆你的其他网站。这也是很多云服务行业的用户都更喜欢用洋葱而不是微信——他们对安全性要求都非常高，同样，对于企业员工，也更适合用洋葱APP。

7.洋葱对2016有什么样的规划？会有什么新功能或者产品？

2016年洋葱的APP会做一个重大改版，当然核心不变——解决所有账号密码的烦恼，至于具体功能可以自行脑补，很快就会和大家见面，这里不做剧透。

值得一提的是，以后越来越多的APP支持生物识别功能，其中会有很大一部分是通过洋葱SDK实现的。

洋葱办公室

特别提问：

在互联网发展迅猛的今天，我们时时刻刻都和账号登录打交道，要记住手机密码、银行卡密码、社交网站等的账号、密码，想想都有点力不从心，据了解洋葱令牌主打生物识别，提供人脸识别、声音识别、位置验证、指纹验证、手势验证、多重验证、WIFI验证等。

1.生物认证安全性怎么样？有没有绝对的安全呢？

一说到生物识别的安全性，很多人就喜欢举一些比较极端的例子，支付宝在推人脸识别的时候就有网友评论说整容成马云的样子就可以盗走马云的钱，其实我觉得这位网友可以试试（虽然我不认为马云没做过这方面考虑），就算失败了，整成马云的样子也能火一把（开玩笑的）。

其实所有人都明白没有绝对安全（但总有人爱这么问╮(╯▽╰)╭），安全是一场拉锯战，建立双方的成本之上，防御者投入更高的成本或用更好的技术来进行防护，攻击者也需要使用更高的成本来破解，当攻击者付出的成本高于收益时，就会考虑放弃攻击。

从这个角度看，生物认证可以增加安全性，这就够了，在我们使用密码时，只需要多花一秒钟按个指纹、刷一下脸就可以大大增加安全性，攻击者要花费很大代价千方百计才能破解，那我们何乐而不为呢？这也是虽然人脸识别并不比瞳孔识别、脉搏识别更安全但是现在被广泛应用的原因，因为简单好用，可以帮助我提高安全性，这就够了，所以银行也用，支付宝也用，未来也会有越来越多的企业、移动应用、网站来用，而洋葱可以为他们包办。

2.能跟大家介绍一下人位置验证和WIFI识别？它们的原理是什么呢？之前看BlackHat大会，我们了解到GPS定位和WIFI定位可以被劫持&伪造，这种情况下会不会对洋葱令牌造成影响呢？

位置识别是基于用户的常用地点进行安全分析，WIFI识别是基于WiFi定位进行的安全分析，当出现异地登陆、非信任WiFi登陆等异常情况，就会要求更严格的验证方式，确保用户账户的安全。

劫持和伪造会不会对洋葱令牌造成影响，这个得看劫持和伪造水平的高低，不排除技术高超的黑客把这两种方式都破解了，但即使做最坏的打算，这两种识别方式被破解了，洋葱依然还有生物识别来保证安全性。

3.生物识别等技术有没有潜在风险？ 比如：获得别人的指纹信息，能否通过伪造？

首先，如今上亿的密码被盗，各种数据库在黑市公开售卖，因为盗取密码的成本很低，如果使用指纹，即使能够伪造，成本也相对较高，无论如何，指纹比密码安全太多。

如果对安全性要求很高的话，可以用生物识别搭配其他风险控制手段使用，密码加人脸识别，声音加人脸加指纹；或者像洋葱一样，通过位置识别、行为分析、手势验证搭配生物识别来使用，保证安全性。

其实在用生物识别的时候，就应该搞明白目的是什么，防的是谁。洋葱是帮助网站解决账号安全威胁，主要防的是黑客，是基于密码泄露频发这一背景的，如果你说有人破解掉密码，又伪造生物特征，并且结合高超的破解技术把洋葱的活体检测也破解掉了，那只能说这不是一般意义上的黑客了，这叫做间谍。

2015互联网安全年度评选

FreeBuf 主办“2015互联网安全年度评选”WitAwards投票阶段已经结束，年度安全产品、年度安全宝贝、年度安全云、年度最佳SRC、年度安全团队、最佳安全研究者等十二项大奖花落谁家，将在2016 FreeBuf互联网安全创新大会（FIT）现场揭晓！

*FreeBuf 编辑部，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）