我相信大多数读者都知道身份验证分为:
密码;
双因素(“我知道什么 - 我拥有什么”,2FA)
使用一次性密码 (OTP)。
尽管密码认证本身存在种种缺点,但其无条件的优势就是简单。密码可能是最基本的身份验证方法。
用户创建自己的密码。然而,值得记住的是,密码必须很长,包含至少四组字符中的三组,不能是字典中的单词,不能包含用户名等。此外,密码必须定期更改。
这种方法的缺点也很明显:
用户很快就会忘记密码;
如果您遵守密码长度、有效期和复杂性的要求,那么支持 新西兰电报数据 服务最多 50% 的工作将花在更改密码上。此外,如今用户拥有的设备很多,在所有设备上都需要记住和更改密码。
该怎么办?使用双重身份验证?如何保证用户不会忘记(丢失)令牌?或者说这是否会使访问令牌的 PIN 码变得太容易?毕竟,2FA 本质上就是相同的密码加上安全令牌。以短信形式传输密码第二部分的发明方法也并不总是一种解决方案。在不受保护的网络中工作时(例如公共 Wi-Fi)更是如此。
微软想出了一种有趣的方式来访问其服务。根本不需要密码。您只需通过手机短信请求一次性密码即可。确实,您需要记住,您必须拥有手机,并且您的身份验证主要取决于您是否可以确保手机的安全。
此外,您不必使用短信。您可以直接从智能手机上安装的应用程序获取时变密码。对于基于 Windows Phone 的智能手机,使用 Microsoft 应用程序;对于基于 Android 和 Apple 的智能手机,例如,使用 Google Authenticator。本质沒有變化。您只需输入一个6 位数的PIN 码。
同样的应用程序Mobile OTP不仅可以在智能手机上使用,还可以在任何使用Java的手机上使用。该应用程序由两部分组成——服务器脚本和客户端部分。该服务器脚本可在任何运行 BSD-Unix 或 Linux 的服务器上使用。同时,OTR也会随着时间而改变。时间差可向前或向后延时3分钟。该应用程序本身是免费的。它自 2003 年起就存在了。
我认为这种方法更方便,因为用户不需要随身携带令牌。
海豹