干掉你的账号密码！基于时间同步+设备指纹，动态密码应用认证宝试图打造一个身份验证开放平台

身份验证开放平台，或者说统一账号系统——一个无比美好但又迟迟未能实现的理想。许多年前大家就意识到，过多的账号密码已经造成用户网络身份的割裂。但因为种种原因，用户痛点一直没有有效解决。

认证宝则是一款基于时间同步技术+设备指纹的动态密码产品，该产品希望在安全和体验两方面取代传统的“账号+密码”验证。在认证宝的合作网站和应用内，用户可以基于一款App，通过输入动态密码、二维码扫码（体验上与微信网页版的登陆方式类似）的方式进行登录、支付等操作，而不必记忆各种复杂的账号密码。

在时间同步技术上，认证宝与我们之前介绍过的手机密令相同：在本地和服务器上并行运算同一套算法，时间作为唯一的变量。只要本地时间和服务器时间在一定误差内，两者得出的密码序列就是一致的。这样用户手机即使在离线状态也能进行验证（当然要不定期在线同步一下时间），而且密码每隔50或60秒就更新一次，理论上暴力破解几乎不可能。

而与手机密令的最大不同是，认证宝在时间同步外还采集了你的设备指纹。在认证宝初次安装时，系统会收集设备唯一标识、mac地址、屏幕信息等设备特征并备份到云端。即使用户进行了刷机，系统也能对设备做出识别，这样就等于用该设备替代了用户身份。同时，由于每台设备都与App序列号唯一对应，用户无论怎么装卸App都不会影响使用。当然，如果手机丢失，还是需要用户主动去解除账号和手机的绑定。

针对开发者，认证宝提供了一组认证和推送接口。产品接入认证宝服务后，用户将可以使用认证宝App（或定制App）进行身份验证，并通过推送及时接收账号状态（比如账号异常）。如果开发者对第三方验证存有疑虑，也可以选择私有化部署。在认证宝下一个版本中，将会允许用户完成一些简单的上行操作，比如商品购买、消费确认等等。

不过，根据以往经验，这类重整合的产品在推广上一般会比较困难（既要整合B端，又要整合C端），手机密令背靠淘宝这颗大树、上市3年也才做了500万活跃用户。在认证宝团队看来，整个市场还处在教育阶段。一方面开发者对安全性的认识不够，另一方面普通大众也对身份验证产品缺乏认知，而市面上已经存在的验证方式也分流了潜在用户（比如短信验证，虽然有安全缺陷，但还算好用）。

但对于这类产品的前景，认证宝团队则十分看好：在云服务、游戏、电商等领域，都可以有比较广泛的使用场景。由于团队人手不足，认证宝目前的销售对象集中在云服务提供商，未来产品会在两条线发展：

1、基于认证开放平台，提供应用增值服务。
2、做企业版，提供企业员工权限管理，接入企业常用云办公服务。

目前认证宝团队共有6人，均来自互联网安全和云计算行业。该团队正在寻求融资。