产品背景
密码被盗的一个重要原因,是在多个网站上使用同样的密码。
这就好比一把钥匙可以开很多扇门。如果某个网站的密码数据库泄漏了,又或者黑客们先找一些容易攻破的网站下手,得到这些网站的密码数据库,然后黑客们就会拿着你在这些网站上的帐号密码,去其他的网站上测试登录,业界把这个行为称之为“撞库”。
在黑市市场里,黑客还会将破解的密码数据库出售或者互换,久而久之形成的“社工库”会非常庞大,撞库成功的几率就会非常高,你的密码被盗也就不奇怪了。
产品思路
1)将密码和要登录的网站/应用、账户名的信息,转换成无法反向推导的信息。这点用哈希算法即可。
2)不需要保存在云端。密码保存在云端,理论上还是存在巨大的风险(不管提供商说有多么安全)。
3)操作要简单,只能多增加一点点操作。
---------------------------------------------
使用说明(截图为交互图)
假设你要登录QQ,用户名是88888
1)取一个初始密码,自己记住就行。比如:abc123。
2)将登录的应用、用户名、初始密码依次填入。
3)点击按钮【密码转换】,生成一串哈希值。
4)点击按钮【复制】,弹出以下页面。
5)填写要复制的开始位数和结束位数(默认1-10位),点击按钮【我要复制】,即复制好了相关信息。
6)在QQ登录页面的密码输入框中,先黏贴好刚复制的内容,然后加上附加字符串:“A@”(实际使用时,自己随便设置附加字符串哈)。
备注:附加字符串有两个目的,首先让黑客即使获得你的密码,也非常难反向计算出初始密码;其次很多网站有密码复杂性要求,比如大小写和特殊字符的要求。
---------------------------------------------
总结
上面的解决方案,可以很简单的保证你登录不同网站/应用的密码是不一样的,并且不需要笔记本和APP来保存记录这些密码。你只需要记住自己的核心密码(初始密码)即可,稍微繁琐点,但能获得极大的安全性。
在移动互联网时代,可以选择【手机号 + 验证码】的方式登录,账号密码登录的场景需求会少些。但依然还是要注意账号安全,因为现在的信息内容隐私程度更高。
