謝穎

（梧州市電化教育站，廣西 梧州 543002）

基于用戶視角的密碼管理方式解決公共網(wǎng)站單點(diǎn)登錄問(wèn)題*

謝穎

（梧州市電化教育站，廣西 梧州 543002）

梧州市已建成“云教育”資源公共服務(wù)平臺(tái)，為更好地利用公共服務(wù)網(wǎng)站上的優(yōu)質(zhì)教育資源開(kāi)展資源共建共享活動(dòng)，近期對(duì)原平臺(tái)版面進(jìn)行了大幅擴(kuò)展，但新加入的網(wǎng)站使用了不同的用戶登錄界面，與本市“云教育”平臺(tái)單點(diǎn)登錄的體驗(yàn)差異巨大。為了消除用戶的使用障礙，梧州市電化教育站通過(guò)采用用戶視角的密碼管理方式的有效策略，解決用戶登錄各類網(wǎng)站登錄困難問(wèn)題。

用戶視角；密碼管理；網(wǎng)站；單點(diǎn)登錄

一、問(wèn)題產(chǎn)生的背景

梧州市自2015年開(kāi)通 “云教育”公共服務(wù)系統(tǒng)以來(lái)，為全市廣大中小學(xué)提供了一個(gè)良好的私有云資源服務(wù)平臺(tái)，所有功能模塊均已實(shí)現(xiàn)單點(diǎn)登錄，在使用便捷性方面與原有平臺(tái)相比有了質(zhì)的提高。針對(duì)現(xiàn)有資源庫(kù)功能較為單一、結(jié)構(gòu)相對(duì)封閉等問(wèn)題，市電教站提出了有機(jī)整合互聯(lián)網(wǎng)公共資源的要求。為了更好地實(shí)現(xiàn)這一目標(biāo)，計(jì)劃采用穩(wěn)妥辦法，利用外部鏈接關(guān)聯(lián)眾多優(yōu)秀公有云服務(wù)頁(yè)面，實(shí)現(xiàn)云資源利用最大化和云服務(wù)的無(wú)縫銜接。在實(shí)施過(guò)程中，有一個(gè)問(wèn)題亟待解決，即如何通過(guò)單點(diǎn)登錄降低用戶登錄種類繁多的公共服務(wù)網(wǎng)站的難度。

二、單點(diǎn)登錄的作用

基于單點(diǎn)登錄的網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證系統(tǒng)主要實(shí)現(xiàn)“單點(diǎn)登錄，全網(wǎng)漫游；單點(diǎn)注銷，全網(wǎng)失效”的效果。[1]用戶只要在訪問(wèn)網(wǎng)站的某個(gè)應(yīng)用模塊中完成身份認(rèn)證，就可以視為在所有應(yīng)用系統(tǒng)中進(jìn)行過(guò)身份認(rèn)證，訪問(wèn)其他應(yīng)用系統(tǒng)時(shí)（或一定時(shí)間內(nèi)）無(wú)需再次進(jìn)行身份校驗(yàn)；同樣的，用戶在任意系統(tǒng)中進(jìn)行退出登錄的操作，則視同用戶在網(wǎng)站的所有應(yīng)用執(zhí)行了退出登錄操作，同時(shí)所有應(yīng)用的系統(tǒng)數(shù)據(jù)與資源不再對(duì)該用戶開(kāi)放。

三、用戶需求與信息安全的矛盾

為了解學(xué)校用戶對(duì)常用網(wǎng)站登錄的體會(huì)，市電教站專門制作了調(diào)查問(wèn)卷并通過(guò)網(wǎng)絡(luò)平臺(tái)發(fā)放到全市中小學(xué)用戶手中，通過(guò)對(duì)回收問(wèn)卷的分析以及對(duì)個(gè)別教研員和教師的訪談，我們得出了以下結(jié)論：①75%的用戶每天需要登錄的網(wǎng)站數(shù)量約為3～5個(gè)；②95%的用戶普遍對(duì)常用網(wǎng)站的登錄過(guò)程感到厭倦；③年齡段在45歲以上的用戶更容易遺忘網(wǎng)站登錄信息；④只有12%的用戶愿意隨身帶著密碼記錄本，愿意每次注冊(cè)都記錄下用戶名密碼的人數(shù)更少；⑤手機(jī)端的輸入密碼驗(yàn)證信息的需求更強(qiáng)烈，遇到的問(wèn)題比PC端更難解決；⑥67%的用戶習(xí)慣使用相同的網(wǎng)站用戶名和密碼；⑦75%的用戶希望有更簡(jiǎn)便的登錄網(wǎng)站的方法。

與此同時(shí)，網(wǎng)站身份信息的安全問(wèn)題也成為大家關(guān)注的焦點(diǎn)。有關(guān)研究指出，我國(guó)境內(nèi)互聯(lián)網(wǎng)服務(wù)提供方的用戶信息普遍采用靜態(tài)身份認(rèn)證方式，且賬號(hào)和密碼等信息的傳輸幾乎都僅僅提供唯一的明文傳輸方式，極易出現(xiàn)網(wǎng)絡(luò)監(jiān)聽(tīng)泄密的風(fēng)險(xiǎn)。[2]又鑒于不少用戶有使用簡(jiǎn)單字符作為密碼或相同用戶名和密碼注冊(cè)不同網(wǎng)站的習(xí)慣，有必要加強(qiáng)用戶的網(wǎng)絡(luò)信息安全意識(shí)的培養(yǎng)。[3]

由此可見(jiàn)，登錄問(wèn)題已成為用戶獲取資源服務(wù)的首要障礙。從方便使用者角度來(lái)說(shuō)，網(wǎng)站登錄的過(guò)程越簡(jiǎn)單越好；從安全的角度說(shuō)，在外部網(wǎng)站的安全風(fēng)險(xiǎn)較難預(yù)知的情況下，每個(gè)網(wǎng)站需要用到的登錄信息都應(yīng)該不一樣，每個(gè)密碼都應(yīng)該包含大小寫字母、數(shù)字以及特殊字符并達(dá)到一定長(zhǎng)度。而如果新增數(shù)量繁多的外網(wǎng)服務(wù)意味著用戶將不得不花更多的時(shí)間去記錄和回憶，提高了網(wǎng)絡(luò)資源的使用成本。

四、不同的解決方案及優(yōu)缺點(diǎn)對(duì)比

1.自建平臺(tái)認(rèn)證的局限性

從傳統(tǒng)的解決方式來(lái)看，自建平臺(tái)可以通過(guò)增設(shè)統(tǒng)一認(rèn)證服務(wù)模塊為本地服務(wù)提供單點(diǎn)登錄，但因?yàn)楸旧淼挠绊懥图夹g(shù)能力等方面的局限性，無(wú)法通過(guò)本地的統(tǒng)一認(rèn)證服務(wù)對(duì)不同的且不斷擴(kuò)展的公共服務(wù)網(wǎng)站實(shí)現(xiàn)單點(diǎn)登錄。[4]

2.第三方平臺(tái)認(rèn)證的局限性

從近年來(lái)的網(wǎng)站情況看，第三方認(rèn)證方式可以在一定程度上間接解決登錄的問(wèn)題。一般來(lái)說(shuō)，這些平臺(tái)的使用人群覆蓋面比較廣，有較高的社會(huì)認(rèn)可度，用戶適應(yīng)難度較小。目前，國(guó)內(nèi)比較流行的第三方平臺(tái)如騰訊QQ、微信、新浪微博、網(wǎng)易賬號(hào)等，越來(lái)越多的網(wǎng)站支持使用上述平臺(tái)賬號(hào)登錄。

但這種方式有較為明顯的缺陷，無(wú)法作為解決方案加以推廣：

首先，絕大部分的網(wǎng)站對(duì)各大第三方平臺(tái)認(rèn)證支持不完整或因各種原因不予支持。第三方平臺(tái)之間存在著競(jìng)爭(zhēng)關(guān)系，絕大多數(shù)公共網(wǎng)站只會(huì)選擇某一個(gè)或少數(shù)幾個(gè)第三方平臺(tái)提供認(rèn)證服務(wù)，另外如CNKI、國(guó)家教育資源公共服務(wù)平臺(tái)等實(shí)力雄厚網(wǎng)站目前也并未提供第三方平臺(tái)認(rèn)證。因此，不能確保未來(lái)添加的網(wǎng)站都能支持某個(gè)固定的第三方平臺(tái)認(rèn)證方式；如需要在幾個(gè)互不關(guān)聯(lián)或存在競(jìng)爭(zhēng)關(guān)系的網(wǎng)站中獲取服務(wù)就必須切換多個(gè)第三方平臺(tái)的認(rèn)證，無(wú)疑增加了用戶的使用難度，不符合簡(jiǎn)化登錄過(guò)程的初衷。

其次，用戶沒(méi)有選擇的余地。第三方平臺(tái)利用自身龐大的用戶群為中小網(wǎng)站快速獲取用戶身份信息提供便利，同時(shí)也在廣泛搜集用戶的使用習(xí)慣信息，它本質(zhì)上說(shuō)是為了自身利益而不是用戶群服務(wù)的，用戶屬于被動(dòng)地使用，有隱私習(xí)慣泄露風(fēng)險(xiǎn)，有可能成為下一步推送廣告的目標(biāo)人群。

基于上述分析，依靠第三方平臺(tái)認(rèn)證實(shí)現(xiàn)單點(diǎn)登錄各網(wǎng)站的做法并不可行。既然從平臺(tái)視角無(wú)法徹底解決，就應(yīng)從其他方向去考慮，其中，通過(guò)用戶視角主動(dòng)進(jìn)行身份認(rèn)證不失為一個(gè)理想的途徑。

3.從用戶視角解決問(wèn)題的途徑

從用戶視角來(lái)看，目前比較可行的主要有兩種解決途徑：

一是通過(guò)瀏覽器的自動(dòng)表單填寫功能完成網(wǎng)站登錄信息填寫，如遨游瀏覽器提供的密碼大師2.0功能，擁有智能生成網(wǎng)絡(luò)密碼，一端存儲(chǔ)、多端使用，支持PC、移動(dòng)端免費(fèi)使用，符合密碼加密標(biāo)準(zhǔn)等優(yōu)勢(shì)。這種方式比較適合環(huán)境相對(duì)固定的用戶辦公計(jì)算機(jī)的環(huán)境。

此方式也有一些問(wèn)題。首先，它使用戶與某個(gè)瀏覽器深度綁定，用戶使用時(shí)間越長(zhǎng)對(duì)該瀏覽器的依賴性也越強(qiáng)，一旦需要更換瀏覽器，所有的密碼庫(kù)都有可能無(wú)法使用。對(duì)目前各類網(wǎng)站兼容性參差不齊或者單一瀏覽器的某些功能缺失、經(jīng)常需要在多個(gè)瀏覽器中切換的情況有較大的影響。其次，國(guó)內(nèi)常見(jiàn)的免費(fèi)瀏覽器往往會(huì)以推送與教學(xué)無(wú)關(guān)的新聞、強(qiáng)行植入廣告等方式獲利，用戶為獲取這些便捷服務(wù)需要對(duì)源源不斷的信息污染做出妥協(xié)。

二是通過(guò)專用的私人密碼管理軟件或網(wǎng)站解決。根據(jù)實(shí)現(xiàn)思路的不同可將其實(shí)現(xiàn)方式分為：

（1）線下方式，類似在筆記本上記錄信息。主要為解決敏感信息放置在互聯(lián)網(wǎng)上導(dǎo)致的泄露問(wèn)題，其代表產(chǎn)品如Keepass、金山密碼保險(xiǎn)箱等，還有一些頗有特色的線下密碼生成系統(tǒng)，如開(kāi)源免費(fèi)的Master Password，它并不記錄任何密碼數(shù)據(jù)、不存儲(chǔ)、不上傳、跨平臺(tái)支持，而且離線可用。用戶只需記住一個(gè)“主密碼”，就能快速為不同網(wǎng)站、APP計(jì)算出獨(dú)立的、不相同不重復(fù)的復(fù)雜密碼，有效避免撞庫(kù)、一處泄露所有賬號(hào)被一鍋端的風(fēng)險(xiǎn)。它是將“用戶名、主密碼、網(wǎng)站名”這三個(gè)要素，通過(guò)復(fù)雜的不可逆加密算法來(lái)生成一個(gè)健壯不易破解的密碼。只要“用戶名、主密碼、網(wǎng)站名”這3要素不變，在Master Password的任何客戶端都能計(jì)算出同一個(gè)密碼。

（2）線上方式，主要是通過(guò)互聯(lián)網(wǎng)解決用戶記憶越來(lái)越多的登錄信息遇到的困難而設(shè)計(jì)，通過(guò)一次性的網(wǎng)絡(luò)身份認(rèn)證來(lái)間接實(shí)現(xiàn)單點(diǎn)登錄，在易用性方面有更好的表現(xiàn)，但從安全性來(lái)說(shuō)不如線下方式。目前較為主流的密碼認(rèn)證工具主要是lasspass、1password等，通過(guò)唯一的主密碼登錄相應(yīng)平臺(tái)獲身份認(rèn)證，返回前期存儲(chǔ)的各網(wǎng)站用戶名、密碼等表單數(shù)據(jù)。此類管理服務(wù)為包括移動(dòng)操作系統(tǒng)在內(nèi)的主流平臺(tái)提供了各種瀏覽器插件以及離線密碼箱等實(shí)用功能，在適用范圍和便利性方面要更勝一籌。以lasspass為例，它提供了對(duì)Windows、MAC OS、Linux等桌面操作系統(tǒng)和安卓、IOS、WP等移動(dòng)操作系統(tǒng)的支持，截至2016年11月26日共計(jì)提供了33種不同的插件、安裝包或獨(dú)立運(yùn)行的綠色軟件，可以按指定規(guī)則生成不同強(qiáng)度密碼，且常用功能均免費(fèi)提供，基本能滿足日常使用需要。

表1 常見(jiàn)的密碼管理方式的優(yōu)缺點(diǎn)

由表1可以看出，瀏覽器自動(dòng)表單功能因?yàn)槭褂煤?jiǎn)單、流行的瀏覽器大多提供支持，用戶容易接受與使用；私人密碼管理的綜合表現(xiàn)相對(duì)更好，其中線上方式在便利性、可持續(xù)性和異構(gòu)環(huán)境下的操作一致性等方面有較大優(yōu)勢(shì)，而線下方式在適用范圍、用戶自由度、信息安全性和可持續(xù)性方面有著明顯的優(yōu)勢(shì)。通過(guò)綜合使用上述幾個(gè)方式，可以基本滿足用戶在未來(lái)新增資源網(wǎng)站的密碼管理方面的需求。

五、便捷與安全的平衡

不用記憶復(fù)雜的登錄信息就能登錄網(wǎng)站無(wú)疑是大大方便了用戶，但對(duì)安全問(wèn)題也不能掉以輕心。例如，2015年6月16日，Lasspass被黑客入侵的事件讓人記憶猶新，雖然它采用了強(qiáng)力的密碼加密算法 （使用了256位AES密鑰），保證在本機(jī)不獲取用戶的信息，在泄露后被破解的可能性較低，但也足以讓我們提高警惕，不要隨意在互聯(lián)網(wǎng)上存放敏感信息。[5]

根據(jù)教育用戶日常使用習(xí)慣的特點(diǎn)，應(yīng)該著重培養(yǎng)他們的安全意識(shí)，提升對(duì)信息敏感網(wǎng)站和一般性網(wǎng)站的甄別能力，自行選用最佳的方式來(lái)記錄登錄信息，在不影響安全的前提下盡可能獲得舒適的使用體驗(yàn)。

六、推廣與培訓(xùn)

選擇從用戶視角解決問(wèn)題要從培養(yǎng)用戶使用習(xí)慣做起才能有效果，需要從多個(gè)環(huán)節(jié)開(kāi)展推廣與培訓(xùn)活動(dòng)：①入口引導(dǎo)：在市“云教育”資源公共服務(wù)平臺(tái)上的新手指南欄目置頂私人密碼管理方式鏈接；②使用說(shuō)明：除了提供鏈接外，還需要對(duì)各種密碼管理方式的優(yōu)、缺點(diǎn)進(jìn)行簡(jiǎn)要的說(shuō)明，對(duì)安全問(wèn)題進(jìn)行重點(diǎn)描述，提高用戶安全意識(shí)；③微課培訓(xùn)：使用鏈接和二維碼分享簡(jiǎn)單的微課教學(xué)培訓(xùn)視頻，介紹以上各途徑的使用方式，方便用戶學(xué)習(xí)與交流；④調(diào)查改進(jìn)：放置網(wǎng)絡(luò)問(wèn)卷，聽(tīng)取用戶使用意見(jiàn)，匯總需要調(diào)整的培訓(xùn)內(nèi)容并開(kāi)展后續(xù)的改進(jìn)工作。

七、總結(jié)

對(duì)于用戶來(lái)說(shuō)，主動(dòng)掌握安全高效的使用登錄信息的方式，一方面能使獲取互聯(lián)網(wǎng)上豐富資源服務(wù)的順暢度大幅提高，避免把時(shí)間浪費(fèi)在回憶、重復(fù)嘗試或者取回密碼服務(wù)上，更有利于快速獲取需要的資源與服務(wù)，提高教育教學(xué)效率與質(zhì)量；另一方面，多數(shù)私人密碼管理軟件或服務(wù)都支持密碼隨機(jī)生成，能有效避免撞庫(kù)的風(fēng)險(xiǎn)，在一定程度上能提高用戶個(gè)人信息的安全性。

對(duì)于我市自建的“云教育”資源管理平臺(tái)來(lái)說(shuō)，在解決了用戶登錄公共網(wǎng)站的身份認(rèn)證問(wèn)題后，可以通過(guò)資源投稿的方式吸引廣大師生積極參與到資源共建共享活動(dòng)中，可利用互聯(lián)網(wǎng)各類服務(wù)資源迅速擴(kuò)大優(yōu)質(zhì)資源覆蓋面，打破傳統(tǒng)資源庫(kù)注重采購(gòu)、封閉運(yùn)行、單向服務(wù)的運(yùn)營(yíng)模式，對(duì)于資源平臺(tái)的滾動(dòng)更新、健康運(yùn)行具有深遠(yuǎn)的意義，將使該平臺(tái)逐步成為一個(gè)真正適合本地用戶使用的“云”服務(wù)平臺(tái)。

[1]謝堅(jiān).基于單點(diǎn)登錄的互聯(lián)網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué),2014.

[2]謝瑾,劉凡保,謝濤.網(wǎng)絡(luò)用戶賬號(hào)密碼安全問(wèn)題調(diào)查[J].信息安全與技術(shù),2015(3):3-6,10.

[3]俞木發(fā).拒絕泄密 密碼管理我有招[J].電腦愛(ài)好者,2012(3):52-53.

[4]蔡芳.統(tǒng)一用戶與單點(diǎn)登錄實(shí)現(xiàn)應(yīng)用系統(tǒng)集成方法研究[J].電腦知識(shí)與技術(shù),2016(27):188-190

[5]小林.讓登錄訪問(wèn)安全又方便[J].個(gè)人電腦,2011(6):103-105.

（編輯：王天鵬）

G40-058

B

1673-8454（2017）17-0072-03

本文為廣西教育科學(xué)“十二五”規(guī)劃2015年度教育信息化工作專項(xiàng)課題“基于云技術(shù)的區(qū)域教育資源公共服務(wù)系統(tǒng)的建設(shè)和運(yùn)行模式的研究——以梧州市基礎(chǔ)教育為例”（2015ZKY6）研究成果。