仅仅靠密码保护你的账户不可靠。很多人的密码太简单。暴力破解密码太容易。密码也很容易泄露。多重身份验证(Multi-factor authentication - MFA,或者 two-factor 或 2FA 双重身份验证)增加了额外一层的保护,现在已经被越来越多的公司采用,被越来越多用户锁接受。
通过短信收验证码是一种方式,但是必须要订阅电信服务商的计划,且短信容易被劫持。使用身份验证器应用程序(Authenticator App)生成验证码是一种更安全的 MFA 形式,有手机就可以了。使用物理实体的身份验证器设备就更安全了,但是不适合大多数人。
身份验证器应用程序相对来说安全且方便,接受度最高,在这里我们只谈它。目前市场上最常见的身份验证器应用程序有 Google Authenticator、Twilio Authy、Microsoft Authenticator、LastPass Authenticator 等。
+++++
身份验证器应用程序的工作原理
身份验证器应用程序生成基于时间的一次性密码(Time-based one-time password,TOTP 或 OTP),通常是每 30 秒刷新一次的六位数。设置 MFA 后,每次你想登录网站或者 App 的账户时,你都需要将输入这个一次性密码(代码),然后才能进入。时间限制意味着这个一次性密码只在 30 秒内有效,过了时效就必须取得新的一次性密码。
首次将一个账户挂上身份验证器应用程序时,需要通过 QR 扫描取得一个长代码,加上当时的时间,根据标准的加密算法,不断生成 OTP。身份验证器应用程序只有在第一次取得长代码时与你的账户网站或者应用程序通信,之后就没有关系了,只是不断地简单而愚蠢地生成代码。
市场上的身份验证器应用程序使用的协议通常基于相同的标准,因此你可以使用 Microsoft Authenticator 进入你的 Google 帐户,反之亦然。
比如 Godaddy 的账户可以设置两个身份验证器应用程序,你可以一个用 Google Authenticator,一个用 Authy。
Google 公司全部用 Google Authenticator 来推广自己的产品,你完全可以不用它的这个身份验证器应用程序,不要被它给吓着了。
+++++
身份验证器应用程序的哪些功能最重要
选择一个身份验证器应用程序最重要的一点就是:你丢了手机之后它是否还备份你的账户信息(当然是加密的)。 Authy、Duo Mobile、LastPass Authenticator 和 Microsoft Authenticator 提供此功能,而 Google Authenticator 不行。仅凭这一点就应该抛弃 Google Authenticator,且不说 Google 只对收集你的数据感兴趣。
+++++
2022 年 7 月 4 日星期一
不想继续写下去了。我搜了一下,知乎上有很多类似对比文章,写得很好。
另外,Yubikeys 十分好用,尤其对公司来说,需要这个,请在 YouTube 里搜索 Yubikeys 学习如何使用,比如这个视频、这个视频和这个视频。
No comments:
Post a Comment