也称为两因素身份验证。
随着越来越多的网站寻找更好的方法来保护登录,两步验证正在整个互联网上出现,而登录是用户在线所做的任何事情中最薄弱的部分。
什么是两步验证 #
密码是在网络上登录的事实上的标准,但它们相对容易破解。即使您制作了良好的密码并定期更改它们,它们也需要存储在您登录的任何地方,并且服务器漏洞可能会泄露它们。有三种方法可以识别一个人,他们是什么,他们拥有什么,以及他们知道什么。
使用密码登录是单步验证。它只依赖于你知道的东西。根据定义,两步验证是一个系统,您可以使用三个可能因素中的两个来证明您的身份,而不仅仅是一个。然而,在实践中,当前的两步实现仍然依赖于您知道的密码,而是使用您的手机或其他设备对您拥有的东西进行身份验证。
三个可能的因素 #
有三种可能的方式来识别用户。
你是什么 #
有很多属性对每个用户都是唯一的,可以用来识别它们。最受欢迎的是指纹,但视网膜、声音、DNA 或其他任何特定于个人的东西都可以使用。这被称为生物特征信息,因为这些信息都属于一个人的生物学。
生物特征因素很有趣,因为它们不容易伪造,用户永远不会丢失或忘记它们。然而,生物特征认证很棘手,因为丢失的指纹永远无法替换。如果黑客要访问指纹数据库,用户就无法重置指纹或获取新指纹。
2013 年,Apple 发布了 TouchID,允许用户使用指纹解锁 iPhone。这项技术很有趣,因为指纹存储在手机本地,而不是在云中,黑客更容易窃取指纹。这种方法仍然需要权衡取舍,但它是迄今为止消费者对生物特征认证最广泛的使用。
你有的东西 #
也称为拥有因素,用户可以通过他们携带的设备来识别。传统上,想要启用两步身份验证的公司会向用户分发安全钥匙串 fobs。钥匙串 fobs 将每 30 秒显示一个新数字,并且每次用户登录时都需要输入该数字和密码。
现代两步验证更频繁地依赖用户的智能手机,而不是新硬件。一个常见的模型使用 SMS 来提供一个简单的第二个因素。当用户输入密码时,他们会收到一条带有唯一代码的短信。通过在密码之后输入该代码,他们可以证明他们也有手机。不幸的是,SMS 不是一个安全的通信渠道,因此开发了智能手机应用程序和插件来创建该安全渠道。
你知道的东西 #
最熟悉的身份验证形式是知识因素或密码。与芝麻开门一样古老,密码长期以来一直是匿名身份验证的标准。为了使知识因素起作用,双方都需要知道密码,但其他方必须无法找到或猜到它。
第一个挑战是与受信任方安全地交换密码。在 Web 上,当您注册一个新站点时,您的密码需要发送到该站点的服务器,并且可能会在此过程中被截获(这就是为什么您在注册或登录时应始终检查 SSL — Administration Over SSL的原因)。
收到密码后,必须保密。用户不应将其写下来或在其他任何地方使用,并且该站点需要仔细保护其数据库以确保黑客无法访问密码。
最后,需要验证密码。当用户访问该站点时,他们需要能够提供密码并根据存储的副本对其进行验证。这种交换也可能被拦截(因此应该始终通过 SSL 进行 – Administration Over SSL)并使用户面临另一个风险。
好处 #
有很多不同的地方可以提高网站的安全性,但 WordPress 安全团队曾说过“您在网上所做的任何事情的安全性中最薄弱的环节就是您的密码”,因此投入精力来加强这一点是有意义的您网站的方面。
缺点 #
顾名思义,两步验证是在一个已经很漫长和痛苦的过程中增加一个步骤。虽然当今大多数非常高安全性的登录都受到两步身份验证的保护,但大多数消费者应用程序即使提供它,也几乎没有提供它作为选项。这是因为如果服务更加困难,用户就不太可能注册和登录服务。
两步验证还可以防止合法登录。如果用户忘记了他们的手机并启用了两步验证,那么他们将无法访问他们的帐户。这是智能手机对两步身份验证有用的主要原因之一——用户携带手机的可能性比其他任何东西都高。
两步验证插件 #
您可以搜索WordPress.org 插件存储库中可用的两步验证插件。以下是一些最受欢迎的入门指南(按字母顺序排列):
