基于用户视角的密码管理方式解决公共网站单点登录问题

谢颖

摘 要：梧州市已建成“云教育”资源公共服务平台，为更好地利用公共服务网站上的优质教育资源开展资源共建共享活动，近期对原平台版面进行了大幅扩展，但新加入的網站使用了不同的用户登录界面，与本市“云教育”平台单点登录的体验差异巨大。为了消除用户的使用障碍，梧州市电化教育站通过采用用户视角的密码管理方式的有效策略，解决用户登录各类网站登录困难问题。

关键词：用户视角；密码管理；网站；单点登录

中图分类号：G40-058 文献标志码：B 文章编号：1673-8454（2017）17-0072-03

一、问题产生的背景

梧州市自2015年开通“云教育”公共服务系统以来，为全市广大中小学提供了一个良好的私有云资源服务平台，所有功能模块均已实现单点登录，在使用便捷性方面与原有平台相比有了质的提高。针对现有资源库功能较为单一、结构相对封闭等问题，市电教站提出了有机整合互联网公共资源的要求。为了更好地实现这一目标，计划采用稳妥办法，利用外部链接关联众多优秀公有云服务页面，实现云资源利用最大化和云服务的无缝衔接。在实施过程中，有一个问题亟待解决，即如何通过单点登录降低用户登录种类繁多的公共服务网站的难度。

二、单点登录的作用

基于单点登录的网络统一身份认证系统主要实现“单点登录，全网漫游；单点注销，全网失效”的效果。[1]用户只要在访问网站的某个应用模块中完成身份认证，就可以视为在所有应用系统中进行过身份认证，访问其他应用系统时（或一定时间内）无需再次进行身份校验；同样的，用户在任意系统中进行退出登录的操作，则视同用户在网站的所有应用执行了退出登录操作，同时所有应用的系统数据与资源不再对该用户开放。

三、用户需求与信息安全的矛盾

为了解学校用户对常用网站登录的体会，市电教站专门制作了调查问卷并通过网络平台发放到全市中小学用户手中，通过对回收问卷的分析以及对个别教研员和教师的访谈，我们得出了以下结论：①75%的用户每天需要登录的网站数量约为3～5个；②95%的用户普遍对常用网站的登录过程感到厌倦；③年龄段在45岁以上的用户更容易遗忘网站登录信息；④只有12%的用户愿意随身带着密码记录本，愿意每次注册都记录下用户名密码的人数更少；⑤手机端的输入密码验证信息的需求更强烈，遇到的问题比PC端更难解决；⑥67%的用户习惯使用相同的网站用户名和密码；⑦75%的用户希望有更简便的登录网站的方法。

与此同时，网站身份信息的安全问题也成为大家关注的焦点。有关研究指出，我国境内互联网服务提供方的用户信息普遍采用静态身份认证方式，且账号和密码等信息的传输几乎都仅仅提供唯一的明文传输方式，极易出现网络监听泄密的风险。[2]又鉴于不少用户有使用简单字符作为密码或相同用户名和密码注册不同网站的习惯，有必要加强用户的网络信息安全意识的培养。[3]

由此可见，登录问题已成为用户获取资源服务的首要障碍。从方便使用者角度来说，网站登录的过程越简单越好；从安全的角度说，在外部网站的安全风险较难预知的情况下，每个网站需要用到的登录信息都应该不一样，每个密码都应该包含大小写字母、数字以及特殊字符并达到一定长度。而如果新增数量繁多的外网服务意味着用户将不得不花更多的时间去记录和回忆，提高了网络资源的使用成本。

四、不同的解决方案及优缺点对比

1.自建平台认证的局限性

从传统的解决方式来看，自建平台可以通过增设统一认证服务模块为本地服务提供单点登录，但因为本身的影响力和技术能力等方面的局限性，无法通过本地的统一认证服务对不同的且不断扩展的公共服务网站实现单点登录。[4]

2.第三方平台认证的局限性

从近年来的网站情况看，第三方认证方式可以在一定程度上间接解决登录的问题。一般来说，这些平台的使用人群覆盖面比较广，有较高的社会认可度，用户适应难度较小。目前，国内比较流行的第三方平台如腾讯QQ、微信、新浪微博、网易账号等，越来越多的网站支持使用上述平台账号登录。

但这种方式有较为明显的缺陷，无法作为解决方案加以推广：

首先，绝大部分的网站对各大第三方平台认证支持不完整或因各种原因不予支持。第三方平台之间存在着竞争关系，绝大多数公共网站只会选择某一个或少数几个第三方平台提供认证服务，另外如CNKI、国家教育资源公共服务平台等实力雄厚网站目前也并未提供第三方平台认证。因此，不能确保未来添加的网站都能支持某个固定的第三方平台认证方式；如需要在几个互不关联或存在竞争关系的网站中获取服务就必须切换多个第三方平台的认证，无疑增加了用户的使用难度，不符合简化登录过程的初衷。

其次，用户没有选择的余地。第三方平台利用自身庞大的用户群为中小网站快速获取用户身份信息提供便利，同时也在广泛搜集用户的使用习惯信息，它本质上说是为了自身利益而不是用户群服务的，用户属于被动地使用，有隐私习惯泄露风险，有可能成为下一步推送广告的目标人群。

基于上述分析，依靠第三方平台认证实现单点登录各网站的做法并不可行。既然从平台视角无法彻底解决，就应从其他方向去考虑，其中，通过用户视角主动进行身份认证不失为一个理想的途径。

3.从用户视角解决问题的途径

从用户视角来看，目前比较可行的主要有两种解决途径：

一是通过浏览器的自动表单填写功能完成网站登录信息填写，如遨游浏览器提供的密码大师2.0功能，拥有智能生成网络密码，一端存储、多端使用，支持PC、移动端免费使用，符合密码加密标准等优势。这种方式比较适合环境相对固定的用户办公计算机的环境。

此方式也有一些问题。首先，它使用户与某个浏览器深度绑定，用户使用时间越长对该浏览器的依赖性也越强，一旦需要更换浏览器，所有的密码库都有可能无法使用。对目前各类网站兼容性参差不齐或者单一浏览器的某些功能缺失、经常需要在多个浏览器中切换的情况有较大的影响。其次，国内常见的免费浏览器往往会以推送与教学无关的新闻、强行植入广告等方式获利，用户为获取这些便捷服务需要对源源不断的信息污染做出妥协。endprint

二是通过专用的私人密码管理软件或网站解决。根据实现思路的不同可将其实现方式分为：

（1）线下方式，类似在笔记本上记录信息。主要为解决敏感信息放置在互联网上导致的泄露问题，其代表产品如Keepass、金山密码保险箱等，还有一些颇有特色的线下密码生成系统，如开源免费的Master Password，它并不记录任何密码数据、不存储、不上传、跨平台支持，而且离线可用。用户只需记住一个“主密码”，就能快速为不同网站、APP计算出独立的、不相同不重复的复杂密码，有效避免撞库、一处泄露所有账号被一锅端的风险。它是将“用户名、主密码、网站名”这三个要素，通过复杂的不可逆加密算法来生成一个健壮不易破解的密码。只要“用户名、主密码、网站名”这3要素不变，在Master Password的任何客户端都能计算出同一个密码。

（2）线上方式，主要是通过互联网解决用户记忆越来越多的登录信息遇到的困难而设计，通过一次性的网络身份认证来间接实现单点登录，在易用性方面有更好的表现，但从安全性来说不如线下方式。目前较为主流的密码认证工具主要是lasspass、1password等，通过唯一的主密码登录相应平台获身份认证，返回前期存储的各网站用户名、密码等表单数据。此类管理服务为包括移动操作系统在内的主流平台提供了各种浏览器插件以及离线密码箱等实用功能，在适用范围和便利性方面要更胜一筹。以lasspass为例，它提供了对Windows、MAC OS、Linux等桌面操作系统和安卓、IOS、WP等移动操作系统的支持，截至2016年11月26日共计提供了33种不同的插件、安装包或独立运行的绿色软件，可以按指定规则生成不同强度密码，且常用功能均免费提供，基本能满足日常使用需要。

由表1可以看出，浏览器自动表单功能因为使用简单、流行的浏览器大多提供支持，用户容易接受与使用；私人密码管理的综合表现相对更好，其中线上方式在便利性、可持续性和异构环境下的操作一致性等方面有较大优势，而线下方式在适用范围、用户自由度、信息安全性和可持续性方面有着明显的优势。通过综合使用上述几个方式，可以基本满足用户在未来新增资源网站的密码管理方面的需求。

五、便捷与安全的平衡

不用记忆复杂的登录信息就能登录网站无疑是大大方便了用户，但对安全问题也不能掉以轻心。例如，2015年6月16日，Lasspass被黑客入侵的事件让人记忆犹新，虽然它采用了强力的密码加密算法（使用了256位AES密钥），保证在本机不获取用户的信息，在泄露后被破解的可能性较低，但也足以让我们提高警惕，不要随意在互联网上存放敏感信息。[5]

根据教育用户日常使用习惯的特点，应该着重培养他们的安全意识，提升对信息敏感网站和一般性网站的甄别能力，自行选用最佳的方式来记录登录信息，在不影响安全的前提下尽可能获得舒适的使用体验。

六、推广与培训

选择从用户视角解决问题要从培养用户使用习惯做起才能有效果，需要从多个环节开展推广与培训活动：①入口引导：在市“云教育”资源公共服务平台上的新手指南栏目置顶私人密码管理方式链接；②使用说明：除了提供链接外，还需要对各种密码管理方式的优、缺点进行简要的说明，对安全问题进行重点描述，提高用戶安全意识；③微课培训：使用链接和二维码分享简单的微课教学培训视频，介绍以上各途径的使用方式，方便用户学习与交流；④调查改进：放置网络问卷，听取用户使用意见，汇总需要调整的培训内容并开展后续的改进工作。

七、总结

对于用户来说，主动掌握安全高效的使用登录信息的方式，一方面能使获取互联网上丰富资源服务的顺畅度大幅提高，避免把时间浪费在回忆、重复尝试或者取回密码服务上，更有利于快速获取需要的资源与服务，提高教育教学效率与质量；另一方面，多数私人密码管理软件或服务都支持密码随机生成，能有效避免撞库的风险，在一定程度上能提高用户个人信息的安全性。

对于我市自建的“云教育”资源管理平台来说，在解决了用户登录公共网站的身份认证问题后，可以通过资源投稿的方式吸引广大师生积极参与到资源共建共享活动中，可利用互联网各类服务资源迅速扩大优质资源覆盖面，打破传统资源库注重采购、封闭运行、单向服务的运营模式，对于资源平台的滚动更新、健康运行具有深远的意义，将使该平台逐步成为一个真正适合本地用户使用的“云”服务平台。

参考文献：

[1]谢坚.基于单点登录的互联网统一身份认证系统的设计与实现[D].电子科技大学，2014.

[2]谢瑾，刘凡保，谢涛.网络用户账号密码安全问题调查[J].信息安全与技术，2015（3）：3-6，10.

[3]俞木发.拒绝泄密 密码管理我有招[J].电脑爱好者，2012（3）：52-53.

[4]蔡芳.统一用户与单点登录实现应用系统集成方法研究[J].电脑知识与技术，2016（27）：188-190

[5]小林.让登录访问安全又方便[J].个人电脑，2011（6）：103-105.

（编辑：王天鹏）endprint