洋葱：“奶罩”团队出品的账号安全登录工具

作为一名程序员，你可能不知道奶罩，不认识吴洪声，但是你肯定知道 DNSPod。
洋葱是国内首个基于云计算推出的账号安全登录工具，由 Secken 科技发布，创始人便是 DNSPod 创始人吴洪声。

洋葱到底是什么

那么，洋葱到底是什么？

洋葱是一款通过认证方式为用户实现安全登录的手机客户端产品。它除了为用户提供传统的双因素认证外，还提供独创的“一键登录”、“二维码登录”，并结合先进的多维检测和智能监控，最终为用户实现快速安全的账号登录。

说了这么多，可能还是有很多人一头雾水。那么，下面笔者将试图用通俗的语言来介绍这个产品。

对于个人用户来说，洋葱的作用是：

登录你绑定了洋葱的网站时就可以通过扫码、手势、指纹、刷脸等多种更轻松、友好的方式来替代一遍遍的账号密码输入。这样同时大量减少用户输入密码的机会，也就降低泄露风险。是不是有些类似 OAuth？当然，手势、指纹、刷脸的方式要比普通的 OAuth 体验好得多。

用过 Google 的同学应该都对 Google 的二步认证有印象。
登录的时候，不仅仅需要账号和密码，还需要手机验证码才可以登录。

二步认证的目的在于，认证是否是你自己在操纵账户。CSDN等一系列拖库事情早已表明，仅仅使用用户名和密码进行认证并不安全。如果你在相同的网站使用相同的用户名密码，那么极有可能会被撞库导致密码泄露。例如今年春季的京东撞库事件。

洋葱就是来认证：你是否是真的你。

二步认证其实大多数人都接触过，比较普遍的例子便是手机验证码、网银盾、网易将军令。

同样，洋葱也是（但不仅仅是）一个二步认证工具。不同的是，洋葱是第三方认证工具。和传统的二步认证工具相比，洋葱更加智能、认证方式更多，也更安全。手势、扫描指纹、人脸识别、声纹识别等都可以作为洋葱的认证密码。

除了 Google，小米、GitHub 等等一系列的网站也有二步认证的功能，不同的是，他们有的是需要每次登录时认证，有的仅仅需要在新设备上进行认证。

洋葱内置了 Dropbox、印象笔记、谷歌硬盘、AWS、DNSPod、GitHub、Linode、name.com、小米的认证。同样，我们也可以自己添加第三方应用。

例如笔者使用设置了 GitHub 和洋葱的二步认证后，每次登录 GitHub 便会提示输入二步认证验证码。

验证码是通过洋葱手机端动态生成的，因此开启认证之后，我们完全不需要担心密码被盗导致 GitHub 被恶意清空之类的悲剧发生。

除此之外，洋葱还有很多更新奇的认证功能等待大家去发掘。

对于开发者来说，事情更加简单。

开发者无需自行搭建复杂的账号认证系统，只需要接入洋葱提供的 API，就能自助的为网站和应用集成洋葱认证。对于个人用户来说，这些是完全免费的。同样，你也可以把洋葱当做类似 Google Authenticator 的第三方令牌。

具体体验为：下载洋葱 APP，输入手机号码取得认证，设置手势密码。目前的洋葱有 iOS、Android、WP 版本客户端，支持 Push 认证、扫描二维码、指纹识别、人脸识别、每三十秒更新一次的动态验证码（并且支持 Google 所提出的协议）。声纹识别验证功能正在内测中。

用户目前已经可以在接入洋葱的华夏名网进行体验，也可以在洋葱官方使用洋葱扫码登录。据悉，正在开发兼容洋葱的网站有 Ucloud、51book、新网、fir.im、worktile 等。