猎云网12月3日报道 (编译:冷洁)
你有没有时常觉得密码太多太难记,脑子根本不够用?有没有想把密码全部记下来,又担心丢了之后白白给别人占了便宜?还是傻傻的你所有网站都用一个密码,还暗自嘲笑众人皆醉我独醒?!如果不幸中枪,天真的你一定没有听过Mooltipass——有了它,密码存储so easy!
可喜可贺,一款致力于密码存储问题的装置——Mooltipass——终于横空出世。如今,为了保护在各种电子设备上留下的私人信息,我们必须尽可能地设置复杂的密码。那么问题来了,作为普通人,我们薄弱的大脑存储系统根本无法记住这么多密码,这便是困扰很多人的症结所在。
Mooltipass的创始人猜想将AES-256译成密码,再把密码存储在一个离线装置中,这个难题就被能妥妥地解决。这样人们既不用担心记不住一堆乱七八糟的复杂密码,也不用担心用密码管理软件普遍较低的安全系数了。作为一个USB硬件部件,Mooltipass会在沙箱里运行你的离线加密证书,所以黑客的入侵更是难于上青天。
Mooltipass的联合创始人Mathieu Stephan表示:“那些吹嘘着能保管密码的软件实际上只是把数据库加密后存放在你的电脑里。若是想要打开它,你就得输入通行码。这就意味着在某个特定的时刻,你的通行码和数据库都将出现在电脑的存储器中。因此,一个恶意程式便可以抓住机会同时盗取两者信息,然后神不知鬼不觉地将危害散播到你所有的证书里。”
“所以我想要开发一个能够让用户随时了解其证书访问情况的装置,这样他们只需要把Mooltipass当做一个标准化键盘来键入他们的证书就能减少攻击媒介,彻底支配自己的密码。”
为了确保这个装置在离线状态下的安全性,每个Mooltipass用户都需要配备智能卡和PIN码(个人识别密码),这样等于是对本地保存的证书信息设置了双重的安全保障。这个装置的外形是仿照标准的USB键盘进行设计的(不需要安装任何驱动程序),当提示框弹出,你便可以把存储的密码发送到所需的设备上——当然是在用户确认传送密码的前提下。
Stephan不无自豪地表示:当某网站需要证书许可时,Mooltipass便会弹出提示框,赋予用户完全的控制力和可视性也是这款装置的核心优点。当然,黑客就更别想打它的主意了。
想要使一个手动输入密码的离线装置完完全全杜绝黑客入侵当然是不可能的——更何况它还是连接到可以上网的设备上。所以Mooltipass不是万能的,它的开发者只是致力于“将攻击媒介的数量降到最少”,并且达到“像普通USB键盘一样安全。”
他还补充道:“除非你每个网站都能设置一个专用密码,或者所有都能设备上都登记了个人公开秘钥,要不然是不可能达到绝对安全的境界的。当然,上述两个方法对于一般人来说根本不可行。”
Stephan表示,虽然Mooltipass 能够在网站和设备上有效鉴定用户的安全性,但目前其插件式设计的使用范围只局限在Chrome(前提是设备有USB插口)。我们会加紧开发更多支持Mooltipass使用的浏览器,效果如何就得看众筹时集资的多少了。
Stephan还补充道:“我们的扩张是建立在已被普接受chromeipass上的,所以我们让测试员尽可能找出和它的不相容性……截至今日,我们花了三个月已经至少让五个网站支持Mooltipass了。”
为了确保Mooltipass能够按照预订情况大规模地进行生产,其驻瑞士的团队正通过Indiegogo积极实施众筹。他们的目标是筹集10万美元,于是在还剩21天众筹即将结束的时刻他们终于突破了5万美金大关。早期投资者的起步金额是80美元,如今为了将Mooltipass升级到铝制外壳,投资起步金额已经涨到了140美金。
这个项目是开放源码的,意味着任何感兴趣的第三方都可以在Github上仔细查看所有的程序编码,这就更加证明了Mooltipass在安全方面的信心。
Stephan表示,因为很多开发者都是免费为开源项目工作的,所以迄今为止开发成本只有6000美元,并且一直保持在很低的水平。此外,测试员也大都是无偿工作的。Stephan自己投资了6000美元,然后想方设法组建了整个开发团队——他有电气工程的相关背景,并且和一个深圳的产品装配人员有交情,这些他都用上了。
一开始,Stephan将他对于Mooltipass的最初构想发表在了Hackaday上。去年12月,他又写了一篇。当我问到Mooltipass的竞争者时,他指出myIDkey和它有相似的产品概念,但在众筹结束后,myIDkey未能交付相应的工作成果——尽管他们已经在Kickstarter上筹集了350万美元。为了避免这样的惨剧发生,Mooltipass团队特地使用了一个完全不同的开发理念——将专业技术和资金分别外包给开源软件爱好者和投资人。
Stephan对此十分自豪:“人们投入自己的部分空余时间来按照自己的意愿开发出一个完全开放源码的安保装置,我觉得这是一个非常赞的举动。去年,由于开发任务的多少在不同时期内不尽相同(包括设计,机械,智能卡,零固件等),我们团队的参与者也在4到20人之间波动。这些参与者有老师,工程师,艺术家,学生和软件安全工程师等。”
那么问题来了,谁是Mooltipass的最大受益者呢?Stephan表示,应当是电子商业和网络消费者。“当选择形状系数时,我们团队之间讨论到几近剑拔弩张……事实上,我们最终是投票决定图形设计的。Mooltipass的优势在于它能像标准键盘一样在锁定的电脑上使用,你甚至不用安装任何附加的驱动程序。我们的‘超大’显示屏将会给所有年龄段的用户带来极致的用户体验。”
如果你觉得为了登陆电子设备而随身携带智能卡和USB装置太过麻烦,那么Mooltipass也有解决的办法——它能靠着智能卡同步多个Mooltipass装置所携带的证书。举个例子,你只要买一个USB装置放在家里,再买一个放在办公地点,那么你随身带个智能卡就能满足每日需要了。这些AT88SC102智能卡都在芯片里装有安全元件,即每个用户的证书都带有秘钥(这意味只要拥有智能卡,一个Mooltipass装置能支持多个用户使用)。
每个Mooltipass装置附带两张智能卡,但用户可以根据需要购买更多。
Source: TC
