17
Aug

谈谈密码保护和二次验证

分类: 互联网相关   |  标签: ,   |  共有: 722 次浏览 , 1 条评论

2auth

互联网早已经成为我们生活中密不可分的一部分,因此我们在网上就会注册好多账号,需要记录好多的密码。原本是想用一个密码走天下,但是因为之前各个系统都出现了不同程度的拖库和撞库事件,因此看来不能把鸡蛋全部放在一个篮子里。所以,今天我们进来谈谈关于密码保护和二次验证。

其实密码保护有很多种方式,一个简单的策略就是为自己设置不同复杂程度的几组密码,然后交换起来使用,因为好多系统的密码策略都不一致。例如我就不能把我的Gmail的复杂密码用到Live账户上。然后呢,根据你对网站安全等级的区分,分别使用其中的一个密码。同时,每个一段时间就对密码种的部分字节进行升级,比如可以增加一个年份的末尾值之类的。这样可以避免系统要求你定期更换密码而让自己忘记掉。在国内的话,我给腾讯系和阿里系的软件各设置了一个高强度密码,且不通用。

网上有很多密码管理软件,但实际用起来真不是那么方便,再加上1Password现在改成了订户模式,让我原本想买的念头都被没了。我现在的密码全部以缩略的方式,记录在Evernote里面,也就是说,只记录敏感字段,而并非密码本身,即便有人看到了,也无法猜出密码全貌,除非他非常了解我,知道我隐藏掉的字段是什么内容。

那么如何来保护Evernote的安全呢?这时候就要用到二次验证了。所谓的二次验证,其实就是由互联网触发的验证码逻辑。手机验证码我们大家都已经用的很多了,而很多互联网服务,并没有到全球各地的短信网关代理,所以他们选择了一种更加方便的方式来对用户进行身份的二次验证,那就是二次验证码。

生活中另外一个常见的二次验证的场景就是银行的电子密钥,其实原理都是一样的。现在,手机上支持动态验证的应用,除了Google的认证器之外,还有微软、LastPass,1Password、Authy等多款二次验证码生成器。我最后选的是微软的认证器,原因很简单,因为Google无法访问,而其他几家,要么太贵,要么就是觉得其安全性不如微软来的可靠。另一点就是,微软的认证器同样支持从云端恢复数据。之前Google的太烂就是,一旦删除这个APP,密钥就不见了需要全部重来。

微软的密钥生成器的使用前提是你必须有一个Live的账号,这里主要是用来进行密钥的云同步。最好找一个和你平时邮件关联少的账号,就是避免由邮件反查到你的登录账号。至于注册登录之后怎么操作,其实就很简单了,通过相机扫描二维码,完成验证,然后测试一组动态码,成功无误就可以了。

虽然,包括Evernote在内的很多软件服务都支持二次验证但是最终,我只开了Dropbox和Facebook外加Live这三个服务的二次验证。因为,短信验证还是响应速度最快和最可靠的保证,Dropbox的验证码现在貌似是被移动网关给拦截了,一直收不到,所以我才准备用这个二次验证码来登录。而安全等级更高的Evernote和Google现在继续通过短信验证码来登录,如果有一天这两天也被封了短信通道,再换到App也不迟啊。

今天的文章就写什么多,改天抽空可以好好把账号密码都升级一轮了!




“谈谈密码保护和二次验证”共有1 条评论

  1. 1 Alex Zhu 发表于 06:38 September 5th, 2020:

    可以试试keeppass。
    国内大部网站/软件不支持OTPs。


在下方发表关于本文的评论...