快捷搜索:  网络  CVE  渗透  后门  扫描  木马  黑客  as

2FA双身分认证之Authy

现如今收集环境越来越复杂,黑客的攻击手段多样化,发生了越来越多的账号暗码泄露事故,从而威胁到用户信息甚至财产安全。在云云复杂的安全形式下,我们需要考虑更多的是用户信息的安全问题,而用户的账户暗码作为信息走访的身份入口是做好安全工作的第一步,那么怎么样维护用户账号暗码的安全性呢?

起首要防止发生用户暗码泄露。即使发生了泄露事故,怎么样防范使用它威胁到用户信息,也是我们需要考虑的问题。在这类场景下,即使再强健的暗码策略也没法避免安全问题的发生,因此双身分(2FA)或多身分认证(MFA)就应运而生。

实在双身分认证早在十几年前就已经最先应用,诸如短信验证码、邮件验证码、动态令牌、RSA电子动态令牌等都是双身分认证的例子。随着收集的发铺,出现了诸如GoogleAuthenticator如许的在线双身分认证解决方案,再也不依靠于短信、邮件、商用的动态令牌等,即可完成双身分认证。

双身分认证的方式有多种多样,这里简单先容三种双身分认证方式:

第一种是短信验证,也是目前较为经常使用的,每次认证时会生成短信验证码发送到指定手机上,输入的内容与发送的内容一致则实现认证;

第二种是认证APP,基于TOTP的加密算法,行使应用与认证APP共同持有的种子密钥,每一隔30秒生成一个新的6位验证码,应用与APP之间的验证码一致则实现验证;

第三种是登录确认的方式,这类方式不需要输入验证码,而是通过登录确认点击的方式来实现双身分认证的过程,这类方式是通过公钥加密算法来确认你的身份,应用会生成一对公私钥,私钥存储在内陆,公钥发送给服务端作为用户信息存储,当用户进行登录操作时,服务端会用公钥加密一段信息发送到你的设备上,只有拥有正确私钥的设备才能解密并实现二次认证。Twitter使用的就是这类方式。

今天我们要先容的 Authy 则是基于第二种方式的双身分认证,是一种更强盛更方便的解决方案,并且能够很好的兼容所有使用 Google Authenticator 的网站。

短信验证作为一种较为传统并且经常使用的双身分认证的方式被大多数人所采用,然则短信本身并不安全,短信新闻很容被拦截。NIST 研究表明 SMS 是一种古老的协定,会存在很多潜伏的安全问题,因此建议采用更安全的方式来替换短信双身分认证。今天要先容的 Authy 不会像短信同样只有当你需要登录时才会发送验证码,它会不间断的每一隔30秒生成新的验证码,象征着验证码的有用期仅为30秒,极大的保障了验证码被重复行使的危害。Authy允许将认证码备份到云端以及你的其他设备上,通过你配置的暗码对其进行加密。然后可以在新的设备上对备份的验证码进行恢复。即使手机丢失或者不在身边,可以使用电脑来生成验证码。

Authy这类类型的认证是基于时间一次性暗码(TOTP)的加密算法。它工作的道理是,当用户在需要进行二次认证的应用上创建账户时,会同时生成一个种子密钥,该密钥通过扫描二维码的方式传递并加密存储在authy上,如许在应用以及authy上均存有该种子密钥,authy行使基于TOTP的加密算法结合该种子密钥每一隔30秒生成一个新的6位认证码。

那么怎么样使用Authy呢?起首需要下载它的APP,android用户可以从GooglePlay中下载,iPhone 以及 iPad 用户从  AppleStore 中下载。这里以iPhone为例进行演示。下载实现以后关上应用,起首需要输入手机号码以及邮箱地址,接着会想你的手机发送一个PIN码验证手机号码的真实性。

2FA双身分认证之Authy

由于我的号码已经在PC端进行了注册以及验证,因此这里选择Use existing device,在PC端的Authy应用对其进行验证即可。

2FA双身分认证之Authy

登录Authy后,界面上可治理的账户照样空的,需要我们添加需要治理的账户,这里以治理Gmail账户为例,在手机端下载Gmail以后,起首需要启用Gmail的二次认证,点击配置—>账户—>治理您的Google账户—>登录以及安全—>开启两步验证,按照步骤开启成功以后,即为下列界面:

2FA双身分认证之Authy

开启两步验证以后,默认为短信验证码方式,使用Authy需要开启“身份验证器应用”,选择对应的手机操作体系类型,无线黑客,点击下一步则会出现一个二维码界面,使用Authy应用扫描该二维码会在Authy界面出现Gmail 的账号信息。

2FA双身分认证之Authy2FA双身分认证之Authy

接着鄙人一步中输入Authy中的六位验证码并点击验证即可开启Authy双身分认证了。

2FA双身分认证之Authy

以上是怎么样在Gmail中开启Authy双身分认证,目前支持Authy双身分认证的应用有:Facebook、Yahoo、Gmail、Amazon、Twitter、Apple、Dropbox、Evernote、Github、Instagram、Teamviewer等。

对于尚不支持Authy双身分认证的应用,Authy也提供了多种说话的接笔供开发者使用(https://www.twilio.com/docs/authy),可以完成应用与Authy双身分认证很好的接入。Authy目前的双身分认证接口支持Node.js、Ruby、Java-Spring、Javaservlets、python、C#、php等。

双身分认证基于其一次性、不可猜测性、短性命周期性,加强了用户登录的安全性,即使黑客知道用户的登录名以及暗码,仍旧没法实现登录操作,没法获取用户进一步信息,极大的维护用户信息的安全。人人可以根据本人的实际情形,选择合适的双身分认证方式。

有些企业由双身分认证转向了愈加安全的三身分认证,即在你知道什么(你的暗码)、你拥有什么(如手机)的基础上,加上了你是谁(脸部识别、红膜扫描或者指纹探测等),随着科技的发铺,这也是目前安全领域重要的发铺方向。

*

您可能还会对下面的文章感兴趣: