这是一个专门讨论 idea 的地方。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
这是一个创建于 2212 天前的主题,其中的信息可能已经有所发展或是发生改变。
之前发了个帖子分析 cookie 和 session 引起的思考,最终发现是,其实是互联网没有统一个人网络身份认证,而现在的注册登陆账户设计有很多缺陷,所以和大家交流一下。
不过第一不要想歪了,把这个跟网络实名认证联系一块,他们是绝不一样的。
第二,这东西也是想想,现在如 google,qq,微信,支付宝,微博这些拥有海量用户的网站,是绝不同意用户把自己的身份按自己的意愿随意迁移的。
已经有很多帖子反应账户的问题了,比如类似 1password 这样的网站大家用过没,与其类似的还有浏览器的保存密码,以及 Oauth 协议等。如果把他们结合起来,取长补短,那真是网民之福,不过既然 1password 这样的网站仍属于小网站,看来如我刚才所说,这东西也是想想而已。
我们把 1password 这样的网站叫做统一个人网络身份认证系统。
1password 的优点是专门做这个的,密码够安全,缺点不如浏览器结合紧密,也不如 Oauth 协议方便。
浏览器的密码保存优点是和网站结合紧密,缺点是基于老式的账号密码方案。
Oauth 协议优点最方便,通过其他服务还能能主动发送消息,缺点,被限制在一个平台无法迁移,而且 Oauth 协议不过大网站的束缚术,他们是有自己正事干的,一旦出现问题,就太麻烦了。
综上,我们把这个统一个人网络身份认证系统做成一个协议,只要支持协议,谁都可以参与,但除了用户,谁都不能掌握主动权。首先有一个全球分配个人唯一 ID 的组织,和域名系统组织一样,然后选择一个客户端,可以生成保存各家网站的加强账号密码,可以选择一家云服务,提供主账号注册登陆服务, 用来上传下载本地加密后的网站账号密码,以及推送消息和保存好友列表。当遇到一个没注册过的网站时,点击注册,弹出注册协议,和索求权限,如果同意,则一键注册,只需要补充一个用来在网站上显示的用户名就行了。
好处一,你就是你,不再需要什么人为你证明。
好处二,可以统一管理网站(之前的都是只有网站管理用户,现在用户终于可以选择管理网站了)
好处三,可以任意选择客户端,云服务,觉得哪家好用哪家,不再大网站限制。
好处四,网站再也不能随意访问你的资料。
好处五,安全,再也不用担心丢号盗号忘号难题。
抛砖引玉,大家觉呢?
不过第一不要想歪了,把这个跟网络实名认证联系一块,他们是绝不一样的。
第二,这东西也是想想,现在如 google,qq,微信,支付宝,微博这些拥有海量用户的网站,是绝不同意用户把自己的身份按自己的意愿随意迁移的。
已经有很多帖子反应账户的问题了,比如类似 1password 这样的网站大家用过没,与其类似的还有浏览器的保存密码,以及 Oauth 协议等。如果把他们结合起来,取长补短,那真是网民之福,不过既然 1password 这样的网站仍属于小网站,看来如我刚才所说,这东西也是想想而已。
我们把 1password 这样的网站叫做统一个人网络身份认证系统。
1password 的优点是专门做这个的,密码够安全,缺点不如浏览器结合紧密,也不如 Oauth 协议方便。
浏览器的密码保存优点是和网站结合紧密,缺点是基于老式的账号密码方案。
Oauth 协议优点最方便,通过其他服务还能能主动发送消息,缺点,被限制在一个平台无法迁移,而且 Oauth 协议不过大网站的束缚术,他们是有自己正事干的,一旦出现问题,就太麻烦了。
综上,我们把这个统一个人网络身份认证系统做成一个协议,只要支持协议,谁都可以参与,但除了用户,谁都不能掌握主动权。首先有一个全球分配个人唯一 ID 的组织,和域名系统组织一样,然后选择一个客户端,可以生成保存各家网站的加强账号密码,可以选择一家云服务,提供主账号注册登陆服务, 用来上传下载本地加密后的网站账号密码,以及推送消息和保存好友列表。当遇到一个没注册过的网站时,点击注册,弹出注册协议,和索求权限,如果同意,则一键注册,只需要补充一个用来在网站上显示的用户名就行了。
好处一,你就是你,不再需要什么人为你证明。
好处二,可以统一管理网站(之前的都是只有网站管理用户,现在用户终于可以选择管理网站了)
好处三,可以任意选择客户端,云服务,觉得哪家好用哪家,不再大网站限制。
好处四,网站再也不能随意访问你的资料。
好处五,安全,再也不用担心丢号盗号忘号难题。
抛砖引玉,大家觉呢?
 |
1
M0 2018-10-20 18:33:04 +08:00
那么,账号密码由谁保存呢?安全问题谁负责呢?
|
 |
2
wolfie 2018-10-20 18:34:54 +08:00
拿到设备容易 GG。
Chrome 的密码生成与保存用着还行。 |
 |
5
pinews OP |
 |
6
huclengyue 2018-10-20 18:42:01 +08:00 via Android
风险更大。
|
 |
7
helone 2018-10-20 18:42:58 +08:00  1
好处再大也抵不过商业利益,你就告诉我哪个互联网巨头会做方便你引流用户这么傻的事情?
|
 |
8
saluton 2018-10-20 18:42:59 +08:00
OpenID 了解一下
|
|
9
pinews OP @yexm0 你说的跟如果 1password 除了问题,qq 出了问题,chrome 出了问题,那不是一样么,肯定安全够高的大网站呀!要全球统一认证有资格的公司啊。
|
 |
12
taurenshaman 2018-10-20 18:52:16 +08:00
互联网之父搞了一个项目,你可以看看,很搭的:
Solid ( social linked data )。更像一种协议 https://solid.mit.edu https://github.com/solid/solid https://zhuanlan.zhihu.com/p/46129406 简单说,Solid 提供了两个基本内容: 1、访问控制,包括权限验证,对文件的读写 2、WebID,类似 OpenID 这是架构图: https://github.com/solid/solid/blob/master/diagrams/solid-architecture.svg |
|
14
taurenshaman 2018-10-20 19:00:20 +08:00
@saluton
OpenID 关了一批了,尤其是 MyOpenID 停服。好像是说因为 Facebook、Google、Microsoft 等账户成了某种意义上事实的 ID -_- 不知道 Solid 能不能发展起来,有几个支持 |
 |
16
xupefei 2018-10-20 19:14:50 +08:00 1
这种系统在一些国家已经有了。比如有芬兰身份证的话,芬兰的银行可以提供身份验证服务。这样的话,你的身份得到了保证,银行也给减少了假账户风险。
 |
 |
17
liuxey 2018-10-20 19:15:37 +08:00
你觉得实现这个想法的难点在哪里?我想你应该懂的!
|
|
18
pinews OP @taurenshaman 试了一个,设计的太丑了,还失败了。。。。
|
|
19
pinews OP 我还有很多想法啊,我觉得我思路比 openid 现实的多。他这个客户端云服务主账号自己一个全做了,但是提供的东西太少了,太贪了吧
|
|
20
taurenshaman 2018-10-20 19:25:50 +08:00 1
@pinews
o(╯□╰)o 如果注册成功了,可以到这个应用上试试效果: https://dokie.li dokieli is a clientside editor for decentralised article publishing, annotations and social interactions. 登录、(文档)存储的位置选择都是通过 URI 指定,挺有意思的,从这里讲,已经超越了 OpenID 单纯身份认证的局限。 |
|
21
pinews OP 非常感谢,既然前辈已经有走过这些路,我。。。。且看一下吧,流泪。。
|
 |
22
winterbells 2018-10-20 19:57:14 +08:00 via Android
eid
|
 |
23
HuHui 2018-10-20 20:04:09 +08:00 via Android
Who watches the watchmen
|
|
24
pinews OP |
 |
25
xmoiduts 2018-10-20 20:17:58 +08:00 via Android
@xupefei 瑞典也有适用于银行的 bankid/mobile bank id 系统,和基于(税务局)身份证的 eID 系统。
|
 |
26
blless 2018-10-20 20:23:09 +08:00 via Android
现在的注册登陆有很多缺陷?
|
 |
27
zakokun 2018-10-20 20:30:12 +08:00
这不就是手机验证码登录吗?
|
 |
28
memorybox 2018-10-20 20:31:10 +08:00
从历史经验上看,任何一个试图大一统的方案都会失败的。
我觉得关于统一的 userid,目前最有意思的应该是基于区块链的想法,比如 onename.com 这样的; 当然,像当年的域名币一样,在 bitcoin blockchain 侧链上面建立一个分布式的 DNS 系统,也半死不活这么长时间了,建立一个 userid 系统我觉得就更遥遥无期了。 |
 |
29
bukip 2018-10-20 20:35:15 +08:00
全球分配个人唯一 ID,怎么个人?怎么唯一?实名吗?
|
 |
30
TroyLin0218 2018-10-20 20:44:50 +08:00
我觉得现在注册最**的地方在于验证手机号,绑定一大堆东西之后万一要换手机号真的是麻烦。其次这个全球同意身份认证我很赞成,不过就是这个公司的资质得多厉害才能说得动中国的庙堂之上呢
|
 |
31
1648820920 2018-10-20 20:48:16 +08:00
你觉得实名制 ip 远吗
|
 |
32
gitandgit 2018-10-20 21:40:20 +08:00 via iPad
Blockstack 了解一下,前身是 onename,一个全新的互联网架构,所有的网站都可以用它的授权信息完成用户登陆。目前使用最好的有:graphite,afari,travelstack.强烈推荐。
|
 |
33
kltt22 2018-10-20 21:41:38 +08:00 via Android
匿名才是王道
|
 |
34
ggsimidar 2018-10-20 22:19:54 +08:00
在奇思妙想之前,我更关系有没有做过相关调研,类似方案有哪些都不清楚的想法还是自己想想就好了
|
 |
35
siyushin 2018-10-20 22:59:37 +08:00
已经有人在区块链上做这件事了。
|
 |
36
lovestudykid 2018-10-21 03:18:05 +08:00
可惜 openid 这样的东西很难普及,用户数据是很多公司的命根子。
|
|
37
pinews OP @vcinex 我们应该都有一个网站吧,我们这个群体有几百万吧。
@blless 账号密码本来是证明网络上的我就是代表现实中的我,但却经常遇到账号密码无法证明我就是我,如果有一个网站也就罢了,我们要遇到几十上百个这样的问题,不应该。 @TroyLin0218 @zakokun 其实手机验证码挺好的,但 正如上面的所说,换手机号麻烦,我这个方案可以放到本地上的。 @bukip 参考域名系统,原则上网站要知道你的资料需要你授权 @lovestudykid 是的很难,咱们得换一种思路。 @taurenshaman solid 和 openid 又看了几遍,几乎和我想的一模一样,很多我一开始没想到的地方,他都想好了,但他这里有几大问题: 1、完全免费不现实,因为有成本的,而且还要不断完善,提供高质量的服务。 2、没有本地方案,相当于断绝了 90%了用户。 3、早在 http 之前就有域名系统和邮件系统,邮件也是利用域名,很多网站也是用邮箱注册,我记得 163 邮箱也曾试过做名片,做社交,可以关联邮箱,可以代收其他邮箱邮件,其实这个邮箱和网络 ID 很像了,我都把邮箱专门分出一个管理账号的文件夹,但 163 这个巨头对此毫无兴趣又或者遇到什么困难。 |
 |
38
nekoneko 2018-10-21 12:52:03 +08:00
看成了:冒充一个人网络身份的想法
|
 |
39
onionnews 2018-10-22 08:27:27 +08:00 via Android
广告公司追踪起来更方便了
|
|
41
pinews OP @pinews 能不能做一个类似 1password 的 openid 网站,之前我是用本地客户端和数据加密解决安全问题的,如果完全放在云上,如何加密呢?
|
 |
42
Davidwg 2018-10-22 13:08:11 +08:00
gmail ?理论上只要都支持 gmail 登录就完成了撸主说的情况
|
|
43
taurenshaman 2018-10-23 19:07:35 +08:00
|
 |
44
kios 2018-10-24 08:13:58 +08:00
兄弟 你这个想法很危险阿
|
 |
45
kersbal 2018-10-26 02:59:56 +08:00
这个问题的终极难题在于如何落实到普通人身上-----你把 1password 的密码和 secret key 忘掉的话天下无人能帮你登陆。。。所以所有这种技术形式 *如果想要估计大多数普通人* 到最后都需要人力参与和有影响力的机构背书作为终极验证:实名制到手机上,手机号实名到身份证上,身份证是经过发证机关的背书。
而这种东西参与的环节与角色越多隐私与安全就越无意义了 |
 |
46
dalieba 2018-10-26 10:24:13 +08:00 via Android
同志,国家需要你
|
|
47
pinews OP @taurenshaman 1password 收费都 3 美元 /月了,个人觉得贵了,但不至于完全免费。
@Davidwg 不想依附大网站 @kersbal 忘记密码了,那不管的,只要一个密码的话,管理起来还是比较容易的。 3.14159265358793238462643383279 我还是能脱口而出的。 |
|
48
kersbal 2018-10-26 23:04:46 +08:00
@pinews
“忘记密码了,那不管的”: 不太明白你的意思,这个账号按你的说法是全球唯一的,一旦忘记密码我进不了各种账号还不了话费交不了电费,如此大的风险简直就是社会灾难。 “我还是能脱口而出的” : 仔细看我写的“如果想要顾及大多数普通人(之前打错字了)” ,日常记不住银行卡密码的人大有人在,这些人怎么办? |
|
49
kersbal 2018-10-26 23:07:57 +08:00
@pinews 而且银行卡只是 6 位数字。你设想中的这个账户如此重要那我岂不是得设置一个 20 位数字字母特殊符号都有的密码才放心?这玩意万一过于简单被人猜出来那才真是“我没办法证明我是我”了。。。
|
 |
50
KingEngine 2018-10-27 00:50:55 +08:00 via Android
@pinews 1password 本地几乎免费,早期安卓版本就是免费的😂新版本免费试用 30 天,过了 30 天清空 app 数据,然后又有 30 天
|
|
51
KingEngine 2018-10-27 01:10:14 +08:00 via Android
@pinews 不知道安卓旧版本是不是破解版,因为百度了下很久前就收费,第一次是在应用宝下载能直接用,现在应用宝是最新版,不过可以在智安商店下(智安保存 app 历史版本这功能还有点实用)
|
 |
52
somethin 2018-11-02 09:10:12 +08:00
Linia https://github.com/ConsenSys/Linnia-Smart-Contracts 了解下,特别符合 这个唯一 ID 只有你知道,别人只能知道你的分身。
|
 |
53
lindongwu11 2018-12-07 21:54:36 +08:00
来用 Solid 啊,一人一个 Timbl 钦定的 WebID https://learnsolid.cn/
|
 |
54
NBOne 2018-12-13 11:54:50 +08:00 via Android
密码存在客户端还不比存在服务端安全的
|
Select Language