5
你的支付宝支付密码、你的草榴登陆密码、你的指纹、你的银行卡号和取款密码。从本质上来说,这些都是秘密。这些秘密对你来说意义重大:因为无法和对方面对面,所以只要你能说出这个秘密,对方就承认“你是你”。
讲真,你和你的秘密相处,从来没有如此剑拔弩张。有一个坏消息:你要记忆的密码多如牛毛,还有一个更坏的消息,随着年龄增长,你的记忆越来越差。
如果你胆敢在所有平台使用相同的密码,那么一旦你的信息在一个平台上泄露,黑市里立刻可以出现你所有平台的信息。在解决这件事上,无疑是存在商机的。做这件事的思路似乎只有一个,那就是把密码统一管理起来。
例如“洋葱令牌”,他们在做的事情就是把你的密码统统装进一个箱子,由专人来掌管,你只需要用密码或者指纹或者你的脸开启洋葱就好。
而腾讯的思路,是把所有的密码放进一块芯片,然后让你戴在手上。这就是他们刚刚发布的“QKey”手环。
团队把他们能想到的秘密几乎都塞进去了。QKey负责人申子熹向雷锋网介绍:
你可以用手环登陆网站或 App。
你可以把银行卡的U盾“Copy”进手环里,它可以当作U盾使用。
你可以把银行闪付卡、公交卡和饭卡导入手环里,可以实现替代。
当然这个手环还有和类似产品同样的的健康记录功能。
如果在量产产品中,各项用户体验都顺滑的话,它确实可以帮你省掉很多的麻烦事。
在和 QKey 相互支持的 App 中,你手上的手环成为了验证你身份的工具,成为一个体外的密码。
目前,移动支付安全的最薄弱环节在于支付鉴权与支付端不分离,导致了各种风险的发生。比如,手机病毒在后台盗取手机支付验证码后,立即利用该验证码盗刷资金。如果支付鉴权放在一个并不联网的设备上,就可以杜绝手机病毒窃取验证码的危险发生。
申子熹这样解释制造这个手环的初衷。
【Everykey】
其实,类似的产品在国外已经存在。例如一款名为“Everykey”的手环,也是以硬件密码作为核心功能。
到这里,很多童鞋都会问:“从理论上来说,这个玩意安全吗?”
“绝对安全是一个哲学命题,”申子熹说,“这个硬件鉴权设备肯定会优于大部分加密方式。在现有的攻防手段下,QKey能够保护大多数用户的安全。”
其实,这个结论也不难理解。毕竟花了这么多钱购买了专业的安全手环,安全性理应得到指数级的提升。
那么,现在我们来做一个假设,如果这个鉴权手环被人偷走,岂不是损失惨重吗?QKey给出的解决方案是:当手环探测到手环有一瞬间脱离手腕,就会自动锁定,需要你的手机授权才可以再次使用。
好的,现在假设坏人把你的手机和手环都偷走了。申子熹介绍,在每一个QKey售出时,都会搭配唯一的机器码和令牌,用户可以使用这个令牌在服务器上做挂失处理,此时手环将会失效。
【QKey】
对于这个手环的颜值,口味不同评价也不一。但是,有一点毫无疑问, 这个手环的用户必须养成佩戴的习惯。如果你真的依靠这个手环,一旦有一天你忘记佩戴,那将是一个灾难。
另外,以微信为例。在支持手环登陆的同时,当然也可以用密码登录。此时传统密码被泄露的风险依然存在。不过,从理论上来讲,如果类似鉴权手环的生态建立,用户会大大降低输入密码的次数。这时,用户们就可能会选择使用极其复杂的密码,甚至可以在不同的平台设置完全不同的密码。
正是因为这类手环拥有很高的安全性 ,用户会天然依赖这些设备。而如果这类手环被黑客攻击,灾难可能会更加猛烈。当然,在鉴权硬件生态建立以前,出于经济效益的原因,并不会有大量的黑客进行攻击研究。而假设QKey类鉴权硬件可以如愿普及,想必又会在黑客和安全研究员间掀起新的攻防军备竞赛。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。
