身份认证协议改进：多因素认证，加入一些其他认证条件，或者说我们身份证的这个升级大概这样：口令认证、多因素认证、多因素双向认证，你要验证我，我也要验证你一次。从安全成本来看，安全指数越高，成本越大。这就是一个企业如果要做这件事情它的难处。

淘宝用户账号安全产品、二次验证产品，淘宝用户安全业务架构，左边罗列的安全风险，右边是针对这些风险给用户提供的一些工具，他可以选择性的使用。中间是淘宝业务，买卖侧重点不同，二次验证。

一次性口令认证OTP，就是图上面显示的，有一个密码，30秒钟，或者一分钟变一次的。

UsrKey，U盾之类的东西，是把密钥放在一个U盾里，这个密钥是不能被倒出的，把随即事件加密，加密完成之后发送给服务器，服务器对应密钥进行解密，如果解密了就OK了，如果解密不了这个密钥就不对，不能进行身份认证。目前成熟的应用：网上银行、支付宝、网游。但是问题也比较多，我们可以想像，一个人他出门的时候兜里面要放五六个U盾。

八卦盾二次验证演示，Login直接吐二维码，Ajax.

三、账号安全未来低成本，高体验，安全指数要求不是特别好，差不多，能够把安全风险罩得住就可以。

账号安全还有未来吗？从账号来看，用户密码来看是没有未来的，互联网过去20年泄漏1亿账号，如果是两亿已经很不错了。如果100之后，我们的安全问题只会越来越严重，我们所有的技术改进，都可以说让用户用起来更舒服，更高效，效果更好了，唯有安全比以前更好了，以前输六位密码就可以了，现在要输十几位的密码，而且一直发邮件让我更改密码。如果行业不努力，没有人比我们努力，如果我们从事安全的，从事IT的人不努力，我们不去埋头干，最后就是所有用户一起承担。

认证手段的增加：指纹：瞳孔、面部、DNA、击键频率(键盘芭蕾)、声音，我觉得比较不错的是击键频率，键盘芭蕾，每个人输的密码节奏不一样，作为一个参考数据去认证，效果应该也不错。还有一些声音方面的，就是的声音输入非常方便，不久之后会有相关的产品出来，或者说这些除了生物技术之外，还有更多的，我希望有更多的厂商看到这个机会，推出更好的产品。

账号安全趋势：

1、减少密码使用次数，业务无密码化。让用户忘掉密码，我们的业务也不要再用密码了，我希望在不久的将来可以看到，在注册一个网站的时候，不需要输入密码就可以注册。

2、减少密码因子在认证中的比重。如果密码真的去不掉，在认证因子的比重应该是逐步降低，采取其他更好的手段来进行身份认证。

3、分级认证取代单一认证，我们现在的认证基本上都是单一认证，为了用户体验，为了省事儿，认证一次，后面的权限就全有了。支付密码，是一个动态密码，静态的密码都不是一个心里安慰，真正一个专业黑客，拿着一个500数据可以搞定82%的人均。

今天就讲这么多内容，谢谢大家。

(责任编辑：)