于當(dāng)下這個(gè)時(shí)段的時(shí)候,此處存在著多賬號(hào)相互關(guān)聯(lián)這件事情,并且在線服務(wù)也呈現(xiàn)出普及化的態(tài)勢(shì),僅僅憑借密碼去保護(hù)數(shù)字資產(chǎn),這種方式已然遠(yuǎn)遠(yuǎn)無(wú)法契合需求了。 Token,它包含著訪問(wèn)令牌以及會(huì)話令牌等類別,此類事物作為身份驗(yàn)證的關(guān)鍵憑證,它的安全性直接同賬戶是不是會(huì)遭遇盜用這一情況產(chǎn)生關(guān)聯(lián)。 實(shí)施具備有效性的多重驗(yàn)證機(jī)制,這是防止Token被盜取、保障用戶安全的核心防線。
第一道防線一般源自“你曉得的事物”之以外,再增添“你所擁有的事物” 。尤其通用的運(yùn)用情形是動(dòng)態(tài)驗(yàn)證碼 ,就像谷歌驗(yàn)證器或者短信驗(yàn)證碼那樣 。當(dāng)你輸入密碼以后 ,系統(tǒng)會(huì)讓你給出于手機(jī)上即時(shí)生成的6位數(shù)字代碼 。哪怕攻擊者盜取了你的密碼 ,也沒(méi)辦法得到這個(gè)每分鐘都會(huì)變換一回的動(dòng)態(tài)口令 ,進(jìn)而沒(méi)法達(dá)成登錄 。
更為深入的安全舉措是引入針對(duì)你自身而非他人共有的獨(dú)特特性作為安全保障,比如經(jīng)由生物識(shí)別技術(shù)(像指紋識(shí)別、面部識(shí)別)或者借助物理安全密鑰來(lái)達(dá)成。特別是以YubiKey為典型代表的硬件密鑰,它要求你把該硬件密鑰插入U(xiǎn)SB端口或者通過(guò)利用NFC觸碰的方式才能夠?qū)崿F(xiàn)授權(quán)登錄這種操作。如此這般的方式能夠?qū)⒕W(wǎng)絡(luò)釣魚(yú)以及中間人攻擊完全隔離開(kāi)來(lái)形成堅(jiān)實(shí)屏障,原因在于密鑰本身它不會(huì)產(chǎn)生那種能夠被攔截獲取的數(shù)字代碼,而且當(dāng)物理設(shè)備不在你手頭邊的時(shí)候就根本無(wú)法完成驗(yàn)證這一行為。
以上方法組合著用,才是最為安全的策略,還要依據(jù)操作的風(fēng)險(xiǎn)等級(jí),對(duì)驗(yàn)證強(qiáng)度進(jìn)行動(dòng)態(tài)調(diào)整,知道。比如說(shuō),查看郵件,或許只需要密碼的,而修改支付設(shè)置,就要同時(shí)驗(yàn)證指紋以及硬件密鑰了。與此同時(shí),用戶得時(shí)刻保持警惕,千萬(wàn)不能把收到的驗(yàn)證碼透露給任何一個(gè)人。安全,是一個(gè)持續(xù)不斷進(jìn)展的過(guò)程,可不是設(shè)置好了就一勞永逸的。
已然在重要賬戶之上啟用多重驗(yàn)證了嗎,于實(shí)際運(yùn)用期間,哪種驗(yàn)證方式在安全性跟便捷性方面平衡得最優(yōu)良呢,歡迎于評(píng)論區(qū)分享自身的經(jīng)驗(yàn)以及看法。
