大家每天上网都在用到用户名和密码,它是如此的基础,如此的自然,以至于我们会感觉互联网天生就应该有用户名和密码的。没有他们我们怎样分辨出在网上的一个个个体呢?但是用户名和密码也是如此的烦人,各个网站用不同的密码吧,不容易区分记住,用同样的话,又怕有安全问题,一个网站不靠谱泄漏了用户信息,那就相当于都泄漏了。科技每天都在发展,有没有办法不用记住用户名密码,又能非常安全的区分出网上的各个个体?在今天,我想这可以成为一种可能了,而且解决方法非常简单。
方案描述:
1.手机里内置一个加密服务,可以由用户设置一个私钥进去,提供加密接口,当外界输入任意字符串时,用该私钥加密,输出加密结果和公钥。
2.当任意app需要登录时,可以产生一个事务的随机数,调用加密服务加密,app拿到加密结果后用返回的公钥解密结果,就可以验证手机上是存储了私钥的,此时就可以直接用公钥作为用户名登录进app了。(使用事务性的随机数是为了防止有app作恶重放这一过程)
达到的效果:
1.用户只需在手机上录入一次私钥,之后打开任意一个支持此方法登录的app时,不再需要任何登录操作。甚至没有注册过的app,也是如此。
2. 任何app都接触不到用户的私钥,只能得到其公钥(相当于用户名),真正做到了安全。而且整个方案不联网,全都是本地操作,没有一个中心化的机构管理用户的私钥,真的安全!
方案虽然简单,要推行起来还是有很多难度:
1.加密服务和app使用该方案是个鸡生蛋蛋生鸡的问题,除非直接从google/apple去推动内置加密服务。
2.app需要兼容之前的用户名密码方案和新的公私钥方案,需要在两种方案之间做映射。虽然不难,但也是个负担。
3.私钥真的很难记住,换手机时有点麻烦。不过因为私钥在整个过程中不会泄露,其实用户可以自己生成有自己特色的私钥,比如身份证号码+手机号码+其他特征值,构成不会与别人重复的私钥。一旦个性化私钥不够个性,还有跟别人撞车的风险。一旦撞车就麻烦了,这个方案解决不了撞车。
针对私钥难记问题,生物识别(如指纹、虹膜)可能未来可以解决。如果能从生物识别上提取跟人生理相关的特征值生成私钥,就解决了这个问题。录入私钥就变成类似刷一下指纹的操作,就太简单方便又安全了。(注意是用生物特征录入私钥,而不是用生物特征登录/解锁)
如上就是本方案,希望大家能给出意见和指点。如果能有切实落地的可行性就更好了 :)
本文最先发布于知乎:https://zhuanlan.zhihu.com/p/54461765
1678
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
