雙因素認證是一種採用時間同步技術的系統,採用了基於時間、事件和密鑰三變量而產生的一次性密碼來傳統的靜態密碼。那麼虛擬主機怎麼添加雙因素安全驗證呢?
虛擬主機添加雙因素安全驗證的步驟虛擬主機添加雙因素安全驗證的步驟
一、雙因素認證的概念
一般來說,三種不同類型的證據,可以證明一個人的身份。
秘密信息:強調排他型,某種信息,用戶自己知道、其他人不知道,最常見的是密碼。
個人物品:描述用戶的私人物品,比如身份證、鑰匙。
生理特徵:用來區分事物之間的不同,通過描述用戶的遺傳特徵,比如指紋、相貌、虹膜等等。
這些證據就稱為三種」因素」。因素越多,證明力就越強,身份就越可靠。
雙因素認證就是指,通過認證同時需要兩個因素的證據。
銀行卡就是最常見的雙因素認證。用戶必須同時提供銀行卡和密碼,才能取到現金。
二、雙因素認證方案
國內的很多網站為了安全,用戶輸入密碼時,增加手機驗證碼方式,以證明用戶身份。
這是一種雙因素認證方案。但是,短消息是不安全的,容易被攔截和偽造,SIM卡也可以克隆。
三、TOTP 的概念
TOTP 的全稱是」基於時間的一次性密碼」。它是公認的可靠解決方案,已經寫入國際標準 RFC6238。
它的步驟如下。
第一步,用戶開啟雙因素認證後,伺服器生成一個密鑰。
第二步:伺服器提示用戶掃描二維碼(或者使用其他方式),把密鑰保存到用戶的手機。也就是說,伺服器和用戶的手機,現在都有了同一把密鑰。
注意,密鑰必須跟手機綁定。一旦用戶更換手機,就必須生成全新的密鑰。
第三步,用戶登錄時,手機客戶端使用這個密鑰和當前時間戳,生成一個哈希,有效期默認為30秒。用戶在有效期內,把這個哈希提交給伺服器。
第四步,伺服器也使用密鑰和當前時間戳,生成一個哈希,跟用戶提交的哈希比對。只要兩者不一致,就拒絕登錄。想知道更多的內容可以閱讀網站提高安全最簡單的一種方法。
四、總結
雙因素認證的優點在於,比單純的密碼登錄安全得多。就算密碼泄露,只要手機還在,帳戶就是安全的。各種密碼破解方法,都對雙因素認證無效。
缺點在於,登錄多了一步,費時且麻煩,用戶會感到不耐煩。而且,它也不代表著帳戶的絕對安全,入侵者依然可以通過盜取 cookie 或 token,劫持整個對話(session)。
雙因素認證還有一個最大的問題,那就是帳戶的恢復。
一旦忘記密碼或者遺失手機,想要恢復登錄,勢必就要繞過雙因素認證,這就形成了一個安全漏洞。除非準備兩套雙因素認證,一套用來登錄,另一套用來恢復帳戶,轉自bluehost博客。
