既然密码无法保证安全，干脆就干掉密码

[核心提示] 洋葱是一款可以通过扫码等方式解决登录需求的 App，不需要记住登录密码，也不需要 1Password 这样的管理软件，一个洋葱就够了。

2011 年，中国网民常用十大密码是：

hei.001.jpg

2013 年，全球十大最危险用户密码是：

hei1.001.jpg

到了 2014 年年末购票信息泄露时，123456、1314、520、521 这些数字还是我国人民最爱用的密码元素。

用 123456 做密码的人要小心了，还有 iloveyou 这么重要的事儿，放在心里说三遍就好了。

专家不厌其烦的说要在不同的网站用不同的用户名和密码，专家还说只用数字的弱口令不行，一定要符号、数字、英文大小写俱全。专家还说，三个月……不，最好一个月换一次密码！这么反人类的规则，为了信息和财产安全，也为了不在找回密码上花费太多时间，1Password、LastPass 等密码保管服务应运而生。

然而就在几日前，全球最热门的密码保管服务之一 LastPass 发布警告，攻击者攻破了运行公司密码管理服务的设备，并盗取了用户的受保护密码及其他敏感的数据——这是在过去四年中第二次发生数据泄露情况。对了，登录 LastPass，你还是需要一串主密码。

来自可汗大学的古代密码学课程入门，能给你一些关于密码的启示

说到底，密码就是一串你和对方之间共同认定的信息（密码的表现形式是口令——一串设定好的字符），归根结底是要让对方知道你是你（你妈是你妈），其他人并不知道这把通向你房间钥匙的模样（或者知道了也很难复制）。而让每个人记住手中一大串钥匙的细节，显然对每个人来说都不可能。

如果有一把无法被复制的万能钥匙呢？身份证、指纹、虹膜、声音、你的脸……或者一款叫洋葱的 App？

干掉密码

洋葱就是这样一款用扫码和生物识别方式解决登录需求的应用，不需要密码，也就不用担心密码泄露。

「使用洋葱，当你需要登录、支付或其他类型的账号认证时，洋葱会提示你通过手机扫码、声纹、指纹或人脸识别完成账号认证。对于你已经开始使用登录令牌的网站，洋葱还能做到令牌统一管理，无需单独为每一个应用单独安装 app 令牌。」

简单来说，用户只要使用洋葱客户端将网站账号同洋葱客户端进行关联，此后只需扫描二维码即可登录。再也不需要输入密码，一部手机就能登录多个网站账号。

洋葱.jpg 洋葱的界面很简单，只有两个功能；设置里可以开启更多验证方式

如果一定要究其原理，洋葱为用户登录的每个网站赋予了一串各不相同的加密的字符（有兴趣可以查看「哈希值」、「加密加盐」等词条），截获该字符并破解就需要大量时间和计算能力，同时破解后也没有更多用处——毕竟洋葱登录每一个网站使用的都是没有规律、并不相同的字符串。

破解密码是博弈的过程，需要的计算量太多、获得的价值太少便不会有人「费力不讨好」。同时洋葱的「扫码」登录方式既能保护安全，操作也更加便捷。

那么洋葱的安全如何保护？除了手势密码，洋葱也支持人脸、声纹和指纹密码解锁洋葱，从而保证洋葱客户端的安全。

对于还不支持扫码登录的网站，洋葱的「动态验证码」支持 Google、Microsoft、Amazon、Facebook、小米、Dropbox、Evernote、GitHub 等网站二次登录验证（六位数字动态口令），通过扫一扫即可添加。如果刚巧手机没有网络，6 位洋葱验证码也可以用来登录关联网站。

如果你是开发者或者企业

「密码学加密算法难学易错」，现有的账号认证体系开发流程十分复杂。不用部署额外服务器和维护、也不用额外的硬件设备或者软件 App，想使用洋葱服务的开发者只需要在主页面上点击「我是开发者」，就能得到 API 文档及 PHP、Python、NodeJS 等语言的 API 调用示例。洋葱提供主流开发语言的 SDK，从布局到调试需要的时间大概在 3 小时左右。

如果你是开发者，洋葱提供便捷的设置方法