奶罩的新项目（洋葱）上线了，各位有什么看法？

奶罩

前景

项目

39 条回复 • 2015-07-23 12:03:01 +08:00

1

sdysj

2015-04-01 11:43:17 +08:00

不知道定位如何，小企业用这个会增加用户使用成本，大企业一般都自己搞了，是不是登录都要拿手机按下？不知道是不是和 DUO 差不多。

2

Ansonyi

2015-04-01 11:45:36 +08:00 via iPhone

刚刚下载看了看，中国版Google Authenticator么？

3

Luzifer

2015-04-01 11:47:27 +08:00

好域名

4

yangqi

2015-04-01 11:53:10 +08:00

lastpass+authy?

5

wzxjohn

2015-04-01 11:55:01 +08:00 via iPhone

没啥前途。谷歌验证不但可以完全集成到程序本身不需要跟外部通信，而且还是使用统一的客户端进行管理，比这玩意不知道方便多少倍。
在被收购之前 Dnspod 就重新封装了谷歌验证器作为 D令牌，然后现在开始直接照搬作为服务了么。。。

6

naizhao

2015-04-01 12:30:36 +08:00

2

说比google方便的，用过再评价。没用之前别光看个名字就开始喷啊。GA有云同步吗？GA有push登录吗？GA有扫描登陆吗？GA有指纹认证吗？GA有语音识别吗？GA有人脸识别吗？GA能快速集成吗？GA有xxxx
还是那句话，用过再喷。

7

shiny

2015-04-01 12:34:47 +08:00

惊现奶罩本人 @naizhao

8

wy315700

2015-04-01 12:40:01 +08:00

@naizhao
大神出没

9

liwei

2015-04-01 13:00:50 +08:00

@naizhao "说比google方便的，用过再评价。"

这是被气糊涂了？

10

0Shaka

2015-04-01 13:03:05 +08:00

@liwei 这是当下比较流行的幽默方式 XD

11

mgc

2015-04-01 13:10:09 +08:00

确实是好想法，问题在于能不能说服足够多的网站使用，比如中国联通用了时代亿宝的手机密令，但我没有去下载，应该确实太麻烦了，如果能使用统一的协议，或集成到一个APP中，比如Authy，我想我会考虑的，事实上这一天一定会来到的

12

mgc

2015-04-01 13:12:16 +08:00

还有个小建议，工具类名字尽量土一些，“违章查询”远比“肠子”来的好记

13

millken

2015-04-01 13:48:53 +08:00

干不过麻花藤的

14

blueionic

2015-04-01 13:53:37 +08:00

这不是authy的模式么。。加了点酷炫的功能。。

15

anyforever

2015-04-01 13:56:18 +08:00

有意思，关注先~

16

wzxjohn

2015-04-01 14:27:29 +08:00 via iPhone

@naizhao 我就问一句话：启动跟 GA 比哪个快？

17

iyaozhen

2015-04-01 14:28:06 +08:00

话说这东西怎么用，扫哪儿？

18

finian

2015-04-01 14:42:40 +08:00

@naizhao bug反馈，手机验证码老是提示已过期，无法注册

19

6IbA2bj5ip3tK49j

2015-04-01 14:44:01 +08:00 via Android

验证码一直过期。唉╯▂╰

20

sexoutsex2011

2015-04-01 15:11:57 +08:00

@naizhao 奶罩大人威武。之前也有过密码管理器(类 Lastpass )+二维码扫描 Oauth 的想法。
当时是看到这篇 http://36kr.com/p/141644.html ，又看到 Line 的二维扫码登陆。现在各大厂都提供自己的二维码登陆功能，但总不能用多少个站，装多少个各家应用来扫码登陆。
关注了。

21

click

2015-04-01 15:15:12 +08:00

我以为是做内衣的。害我白进来看一遍

22

oott123

2015-04-01 15:17:57 +08:00

哎，想在自己的项目中试用一下，结果

> 目前洋葱正处于内测阶段，
> 暂时只对少数的合作伙伴开放。
> 如果您对参与到洋葱的内测有兴趣，
> 请联系我们。

看了看自己的小项目，还是算了吧。
不过 APP 的很多地方看了都觉得，好赞~

23

est

2015-04-01 15:18:41 +08:00

@naizhao 围观

24

sarices

2015-04-01 16:20:56 +08:00

GA云同步安全吗？？

25

learnshare

2015-04-01 16:25:40 +08:00

logo 为什么是半个柠檬...

26

decken

2015-04-01 17:02:33 +08:00

目前有哪些网站是支持洋葱认证的?

27

jemyzhang

2015-04-01 17:08:08 +08:00

我以为是美女站...来了就顶一下吧

28

naizhao

2015-04-01 18:36:37 +08:00

@wzxjohn 我也问你一句话：打开app看半天6位数，颤颤巍巍的输入浏览器的时候告诉你验证码过期，还是直接push一条信息到手机，打开后点击一下就通过验证，哪种更快？

29

wzxjohn

2015-04-01 18:42:03 +08:00

@naizhao 打开 App 看 6 位数只要5秒，输入不需要颤颤巍巍，GA 有正负30秒的容错，也就是说只要你不“颤颤巍巍”30秒你的码就是有效的。 Push 消息首先要打开你的 App，不说你的 App 比 GA 启动慢，App 获取验证信息需要时间，看 App 显示的验证信息需要时间，想了一下点了同意又需要时间，同意之后 App 将验证信息加密还给服务器又需要时间，你们的服务器将验证信息加密或者明文也好还给真正的认证服务器又需要时间。这么多环节只要任何一环出了问题，比如我现在没 Wifi，手机信号差，那就直接歇菜。你说哪个好？

30

wzxjohn

2015-04-01 18:43:59 +08:00

顺便一说，因为是手机号注册，所以基本等于实名。国内公司嘛，如果上级主管部门要查你水表，以前可能还要一个个查，现在好了，报一个手机号给 @naizhao ，关联过的所有网站就出来了～简直方便啊～～～

31

naizhao

2015-04-01 22:28:51 +08:00

@wzxjohn 嗯，你很厉害啊，列举了一大堆不好的地方，不知道对我的新产品有什么建设性的意见？

32

wzxjohn

2015-04-01 22:31:34 +08:00

3

@naizhao 你作为一个老大就用这个态度做产品。。。嘲讽别人。。。Orz。。。牛逼！

33

liangzhitao

2015-04-01 22:41:40 +08:00

说实在的，我认识的人用 GA 的基本没有，类似产品用的比较多的还是 QQ 令牌，而且也只是相对于 GA 来说，14年以来，人们对安全的重视程度越来越高，如何让类似概念深入人心，产品就有戏，去跟对比 GA 孰优孰劣，根本没有任何意义。

34

taogogo

2015-04-02 10:47:48 +08:00

用了下，设置手势界面空白GT-I9100

35

naizhao

2015-04-04 00:35:39 +08:00

@wzxjohn 我这是虚心请教啊，还以为你有什么NB的想法呢。

36

wzxjohn

2015-04-07 20:33:13 +08:00

@naizhao 拜托先上架 App Store 再继续来嘲讽我吧。

37

tigerstudent

2015-06-21 19:38:11 +08:00

按5楼的逻辑百度也是没前途的？

38

yiling

2015-07-03 16:55:02 +08:00

用到今天，GOTP确实不错，换个手机也能用。APP迭代速度惊人，现在已经能启用指纹、人脸、声纹识别了，期待更多的功能。奶罩出品确实让人有期待！

39

JasonGao180

2015-07-23 12:03:01 +08:00

洋葱会将用户的TOTP密钥上传到洋葱上（看官网介绍了，说托管在第三方服务那里，没有本质区别）。
这在高安全场景下是不可接受的。
假设用户托管在洋葱的TOTP密钥被拖库了，然后攻击者就可以针对洋葱的用户用撞库的方法进行攻击，而洋葱用户估计还觉得自己启用了MFA很安全一定不会被盗号。
而GoogleAuthenticator就只把密钥保存在本地，而不敢将密钥上传到服务器上。
Authy虽然将密钥上传到服务器上，但是用户需要在Authy客户端设置恢复密钥，TOTP密钥会在本地用客户的恢复密钥加密后再上传到远程服务器上。
洋葱。。。就这么把TOTP密钥上传到服务器上了。。。