日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

檢查密碼失敗怎么辦 檢查密碼要求是什么意思( 二 )

云知道


去年,12306 數(shù)據(jù)疑似泄露
所以我們需要在密碼之上再加一層驗證,來保證目前在操作的確實是你自己 。這就是「雙因子認證」 。
雙因子認證的設(shè)計通常劃分成下面幾種:
你知道的信息:額外的個人認證碼(PIN)、密保問題你擁有的物體:信用卡(購物)、手機號(短信)、密碼器(銀行)你個人的特征:人臉識別、聲紋、指紋較為普遍使用的雙因子認證方式主要是「認證碼應(yīng)用」和「短信驗證碼」這兩種 。它們都屬于第二類「你擁有的物體」 。也就是說,借助你擁有的應(yīng)用或手機號,你可以更好地證明你擁有訪問賬戶的權(quán)限 。
認證碼應(yīng)用目前 1Password 同時提供了密碼管理和雙因子認證 , 而 Lastpass 則需要配合 單獨的雙因子認證應(yīng)用 來管理 。此外,也有一些獨立的雙因子應(yīng)用,如 Authy、Google 身份驗證器以及 Microsoft Authenticator 。
這些應(yīng)用提供的雙因子認證是基于 TOTP(基于時間的一次性密碼算法) 來實現(xiàn)的 , 已經(jīng)成為 RFC6238 標準 。它的運作過程可以分為「配置」和「使用」兩部分來解釋 。
配置賬戶時:
服務(wù)器生成隨機的密鑰,如 4M7IFFT3Y45BLUXTY7WY7DJ3UA通過彼此之間相對可信的通道進行第一次通信,現(xiàn)在一般用二維碼 , 這個二維碼能夠傳遞服務(wù)名稱、賬戶名稱、隨機密鑰客戶端根據(jù)收到的信息,根據(jù)隨機密鑰和當前的時間,根據(jù)特定算法計算出一個 6 位的認證碼用戶根據(jù)客戶端上的顯示,將 6 位認證碼輸入給服務(wù)器,服務(wù)器同時使用相同算法計算出認證碼 , 核對是否一致使用雙因子認證時:
客戶端根據(jù)之前記錄的隨機密鑰和當前的時間,計算出 6 位認證碼服務(wù)器同時計算出認證碼用戶根據(jù)客戶端的顯示,將認證碼輸入給服務(wù)器,服務(wù)器核對
Google 和 Microsoft 的認證碼應(yīng)用
由此可見 , 這種認證是基于:
事先協(xié)商的密鑰核驗時的時間因此,這種認證碼是會隨著時間變化的,并且對每個賬戶都是不同的 。而計算認證碼的算法包含了 哈希 , 因此從認證碼逆推出原始密鑰幾乎是不可能的 。
值得指出的是,1Password 同時兼顧了密碼管理器和認證碼應(yīng)用,還可以收納證件、會員信息、信用卡、服務(wù)器等內(nèi)容,所以很容易造成 單點故障 的困局 。
短信驗證碼國內(nèi)使用認證碼應(yīng)用的比較少 , 一方面因為需要手動配置,對用戶有一定技術(shù)要求,另一方面普遍使用的手機短信驗證碼由于手機號碼實名制,顯得更加符合國情,也更加便于管理 。
然而針對短信驗證碼的攻擊非常頻繁 , 去年八月甚至出現(xiàn)了使用黑科技 強行攔截短信驗證碼并盜取支付寶 的驚人案例 , 具體操作手法眾說紛紜,但是短信作為一種保護信息安全的雙因子認證顯然顯得不大可靠了 。
誠如這份檢查列表提供的 其中一個資源鏈接 中所說:
"SMS has turned that 'something you have' into 'something they sent you,'" says Zdziarski. "If that transaction is happening, it can be intercepted. And that means you're potentially at some level of risk."
大概翻譯過來是:短信已經(jīng)從「你擁有的物體」轉(zhuǎn)變成了「他們發(fā)送給你的東西」,這樣就可能被竊聽,也就有了潛在的危險 。
由于 2G 的安全性遠低于 4G 通信,因此也有竊聽者強行令手機切換到 2G 通信,從而更加容易地竊取短信 。此外,現(xiàn)在的技術(shù)除了輕而易舉地給手機發(fā)送偽造的短信,也可以騙取短信發(fā)送方的信任 , 而讓發(fā)送方把本應(yīng)發(fā)給用戶的短信發(fā)送到你這邊來——竊聽、攔截、篡改,一應(yīng)俱全 。

推薦閱讀