在华盛顿博客圈小有名气的Kayne Mcgladrey拥有200个不同的网络账户密码,这里面有他每日必用的银行账号、Email的密码,也有很少用到的IRS电子签名或他妻子的密码。“
|
十五年来,Mcgladrey不得不依赖需要装在PC上的密码存储软件。“我用过好多种,但这些要么有着致命的缺陷,要么让我径直去试新的。”其中最让人头疼的是,密码都要存储在某一台PC上,无法随时随地、在任何一台PC上调用。
现在,一些在线密码管理网站可以解决多年来困扰Mcgladrey的烦忧。
一把数字锁
美国的Just1key和Agatra是一种新型的互联网门户网站,允许用户把上百条用户名/密码、对应网站的网址或其他用户输入的信息保存在其服务器上。出于信息安全的考虑,用户所添加的内容都会被加密,同时用户跟这些网站互动的页面也会被加密。除此之外,Agatra还提供自动网站登录服务,用户只需要点击存储在Agatra上的那些网站链接,就能轻松地登录这些网站。
“这就像一把数字的‘锁与钥匙’,解密这些信息的惟一途径就是用Agatra的密码登录。”Agatra总裁Andrew Hayward对《互联网周刊》解释说。用户只要记住了其在Agatra设定的密码,就能进入Agatra管理自己所有的用户名/密码等信息,并毫不费力地从Agatra进入无论是在Yahoo 的邮箱或是HDBS的银行账户。
Agatra的这种密码管理与自动登录服务既不同于单纯地在网络上存储密码,如Just1key的Ultra-Secure网络密码存储,也不同于微软的Passport或自由联盟的“Single Sign-On”(单点登录),而是两者的混合体。
与Just1key一样,Agatra把用户提供的密码存储在服务器上,用户只需登录进Agatra就可以查看、修改、添加或删除这些密码。一旦用户想进入其它网站的账户,在Just1key中他可以点击链接,在新窗口中打开网页,然后必须经过手动或自动填入用户名和密码并确认这一步才能进入这个网站。但在Agatra中,用户名/密码“输入—确认”这一步省掉了,用户点击链接后就直接进入其在其它网站上的账户页面,就像在MSN Messenger上点击进入Hotmail账户一样。
Passport或Single Sign-On虽然能让用户不用填写密码就能进入其它网站,但是它们不提供在线密码存储这项服务,而只依靠一个Passport的用户名/密码进入,这就必须要建立复杂的证书(Credential)认证系统才能得到第三方网站的承认。所以,Passport等只兼容互联网中所占比例非常少的顶级网站,但“Agatra可以兼容更大范围、更多种类的网站,而且每天都在新添更多的网站,”Andrew说,“利用用户提供的信息,从第三方的角度看,这就像是用户自己在登录一样。”而这一切通过Ajax这项新技术,繁琐的密码认证交由后台处理,在前端用户所体验到的就是无缝、顺畅地登录。
实际上,微软也一直视繁杂的登录密码问题为系统安全链的薄弱环节。在微软不久前举行的RSA2006会议上,盖茨宣布在即将发布的Windows Vista中,将引入一种名为InfoCard(信息卡片)的概念,提供一个可以有效管理繁多登录账号和密码的有效工具。这一举措将有效地“挤掉”密码,但盖茨认为这一转换将在三四年内完成。微软曾在去年5月专门发布了一个白皮书,向外界透露了InfoCard的想法。由于微软在1999年推出的Passport服务并未取得预期的成功,所以作为其在认证技术方面所做的第二次尝试,InfoCard可谓吸引了业界的很多目光。微软称,InfoCard将允许用户集中管理各种认证和支付技术,就像可以容纳各种信用卡的钱包一样,其主要的目的是解决目前Passport存在的问题,如用户信息将由微软代为管理而不再需要用户自己负责。
无论是Just1key还是Agatra还都瞄准了无线移动终端市场。Just1key推出了与网络版功能相同的Mobile版本。Agatra则把自己的移动版本称为“兼容模式”,虽然目前还是测试版,但已经可以兼容多种带有不同移动浏览器平台的设备,也允许用户打开Firefox标签中的链接。预计两三个月后Agatra移动版本将会正式推出。
盈利空间
Andrew对《互联网周刊》表示,自己非常看好这一市场的潜力,因为在美国,饱受密码之苦、管理软件不便的人不在少数。据Pew Internet Survey的一项调查显示:大约有四分之一的互联网用户需要记住13个以上的密码,而普通人通常只能同时记住7位不同的信息。据美国《计算机产业年鉴》统计,2005年美国有1.98亿互联网用户,这意味着Agatra拥有近500万的潜在用户。让Andrew颇为自豪的是,自2005年10月Agatra成立以来,用户数量每月以300%~500%的速度递增,每月新存储的密码都为上万条。这也引起了Bessemer Venture Partners(世界上历史最悠久的VC,Skype的投资者之一)的兴趣。
不过,Agatra现在仍然在免费向用户提供服务。按Andrew规划,这一阶段的Agatra争取通过在网页中添加加密广告的方式获取收入,从而维持免费服务以吸引更多的用户。等用户数量达到一定级别,Agatra就会采取用户收费的方式,让收费用户享受无广告的密码管理服务。如果收费用户的数量充足而稳定,盈利模式的第三阶段就是向被用户添加的小型内容网站收取“每被添加一次2美分~5美分”的费用。Andrew认为这种作法对双方都有好处,如果用户总是从Agatra登录这些内容网站,它们就能确保稳定的用户接入。
比Agatra更早进入市场的Just1key,现在已经进入收费阶段,每月向每个用户收取2.5美元。有了充足的现金收入,Just1key更发展了一套完善的转售模式用以扩大用户群。如果某人推荐别人购买了Just1key的服务,这个人就可以获得7.5美元的推荐费。如果这人推荐的是购买许可的网站,这人就可以获得等同于交易金额的20%的资金作为回馈。所有回馈费用通过放在用户网页中的Cookie自动计算,这样Just1key就能轻松地吸引大批推荐人,通过朋友介绍朋友的方式引来不少用户。
安全隐忧
尽管很多人头疼要记住很多密码,但不是所有人都放心把自己的密码存储在网上。程序员Daniel Morrison就认为把密码保存在一个未知的第三方的服务器上不是一个好主意。“使用这项服务的用户越多,就越会引起黑客的兴趣去窃取这些密码。”不过,Andrew对这样的担忧有不同的看法。黑客更愿意破解网上银行,因为目标非常集中,每一个用户账号里全是银行账号、信用卡号等重要信息。然而,如果黑客潜入Aagatra,他所面临的许多条密码信息,其中大多数是免费注册网站的密码,所以他不得不为获得一条信用卡号或银行账号花很大的力气破解不同的密码。“这比起时下常用的身份窃取手段困难N多次方。现实中计算资源是有限的,黑客青睐更有利可图、回报更丰厚的目标。” Andrew这样对记者解释。
随着互联网成为越来越多人的日常需要,在一定程度上网民也开始接受把密码保存在网上。“我愿意把我大多数的密码(Email和很多网站的)存在网上,除了银行的。本来你在网上的活动就很少是安全的,如果Agatra能够让登录变得更简单,对我而言还是蛮不错的选择。”Ajaxinfo的博客Alexei这样评论到。出于自身安全的考虑,这样折中的做法未尝不可。