鲁达 互联网发展得越来越快。软件、应用、网站也越来越多。而大多数人应该都是需要使用账号和密码来登录的。而且现在的安全性也越来越重要。时常有听到XX网站被黑客攻破,后台用户账号和密码被泄露的事情也越来越频繁。不禁令用户担心,如果自己的密码泄露了,那么安全性又从何而来呢?如果一旦你的密码被别人知道,那分分钟应用里的信息就会被不法分子利用了。而且由于大多数用户都只使用同一个密码,所以只要一旦一个密码被泄露,那等就是全盘被一窝端了啊。
那么,该如何解决这个问题?如何提升安全级别呢?
「二步验证」就横空出世了。
除了输入账号和密码之外,还需要额外的发送一条手机短信验证码或是一个6位数的随机码来进一步验证。以此进一步确认你是帐号的真正主人。
这就是“两步验证”或是叫“双因素验证”。
就算对方知道了你的账户和密码,但是他却没有办法拿到一组动态生成的验证码还是无法登入。这个验证码,可以是手机短信,也可以是由软件生成的数字验证码。
如果说,手机短信还需要网络支持的话,那么“数字验证码”则完全不需要网络,可以离线生成。而且每30S就会重新生成新的验证码以提升安全性。不仅安全,通用性也进一步加强。
这个验证码的原理是基于时间和加密算法生成“每 30 秒变化一次的 6 位数字验证码”,也叫做 TOTP (Time-Based One-time Password) 或 OTP 一次性密码。它的优点是使用时无需联网、仅需时间进行计算、速度快、可离线使用、没有额外成本。可以用小型硬件 (实体的密码器) 或纯软件 APP 来实现,因此更多的网站会支持这种方式。
之前很多银行推出的的“电子密码管理器”使用的就是基于此原理的硬件。
而在软件上则更多种多样了。包括 Goole、 微软、都有自己的两步验证软件。而密码管理的龙头老大“1Password”也是内置提供了这项功能。你只要在应用商店去搜一下“TOTP”,一大把的同类软件都比比皆是。而且像Chrome 和 firefox 等浏览器也有相应的插件来实现。
因为这套算法协议是公开通用的,在开发和使用上都很简单。只要在支持“两步验证”的网站上注册时,选择了两步验证,网站会下发一个代码,或者是一个二维码,也就是私钥。而后在软件里添加代码,或是扫描二维码,用私钥配合上公钥。就生成了一套网站和两步验证软件之间的桥梁。形成了关联。也就是说公钥就像是一家银行,里面有很多保险箱,而每时每刻都有保安来保护着确保安全。而私钥则像是每个保险箱的钥匙,而且保安还会对来开锁的人做进一步的验证。
建立关联后下次再访问该网页时,输入账户和密码后,还要让你再输入一个6位数验证码。你只需要打开绑定的两步验证的软件,在每30s变化之前输入相应的码即可。从而确保了安全性。
而“两步验证”还有其种说法,像什么“二步验证”、“双因素验证”、“多因素验证”、“虚拟 MFA”、“动态令牌”、“双重验证”、“2FA”、“Two-Factor Authentication”、“Multi-Factor Authentication”、以及前面提到的“OTP”、“TOTP”等等词语,但其实它们都是在说同一个意思。除了账号密码外的多一次验证。当然除了用软件外,用手机短信或是邮件来接收验证码也是可以的,就是时间可能会有一些延迟。
目前支持两步验证的网站越来越多,国外的 Google,GitHub,Twitter,Instagram,Amazon等。而国内的阿里云,坚果云,印象笔记等都支持该验证。虽然登入时好像麻烦了一点点,但是对于安全性来说则真的是有太大的保障。万一密码泄漏了也还有办法补救。
强烈建议大家能打开的还是打开两步验证吧。