防范黑客攻击,你需要这个
二次验证码是零度在线科技有限公司2017年初(第一批微信小程序内测用户)推出的一款身份验证小程序,用于进行两步安全验证。算法和用法同国外谷歌身份验证器(英文名称是Google Authenticator)。由于二次验证码是国内最早推出的小程序版本的两步验证工具,这两年作为领头羊在国内市场得到广泛应用。
提到谷歌身份验证器不免会想到它的历史,谷歌身份验证器的出现是为了解决大家Google账号遭遇恶意攻击的问题。使用Google Authenticator(Google身份验证器)v2.33 在手机端生成动态口令后,在google相关的服务登陆中除了用正常用户名和密码外,需要输入一次动态口令才能验证成功。
这相当于给账户增加一层锁——即登陆屏障,客户端每30秒使用**和时间戳通过一种算法生成一个6位数字的一次性密码——相当于开启系统屏障的唯一钥匙。它使用控制变量法,如果算法相同、**相同,又是同一个时间(时间戳相同),那么客户端和服务器计算出的一次性密码是一样的。服务器验证时如果一样,就登录成功了。该算法已被互联网工程任务组(IETF)接纳为RFC 6238标准,被用于众多多因素验证系统当中。
因为国内谷歌身份验证器中文版的局限性:下载不便(安卓端常无处下载)、功能缺失(安卓端无扫码功能)、**丢失后无法找回导致长期无法登陆,于是具备同样算法,便于打开使用并具备**找回功能的小程序——二次验证码受到越来越多用户的欢迎。
二次验证码又叫做两步验证(或称为MFA、2FA、2STP、双重验证、双因素验证、多因素验证、两次验证、动态口令码验证、身份宝等,也有很多地方简单称之为谷歌二次验证)。
有了这层屏障,即便用户其他信息被黑客获取,黑客想通过撞库攻击方式盗取用户信息及资产,没有这个结合唯一**与当前时间的算法、每30秒变化一次的动态验证码,他们也是无法登陆用户平台,只能束手无策。
此处解释两点内容:
撞库攻击
互联网时代日常注册各类平台,使用同一密码成为很多用户的习惯。黑客截获到用户某一平台账户密码等信息资料后就机器操作的方式使用它来尝试登陆该用户其他平台,获取用户资产。这也是很多网站为什么使用手动图片滑块等验证的主要原因,但防止机器操作依然不能预防黑客的其他形式攻击。二次验证码就变得极为必要。
黑客攻击的几种利用形式
输入用户名+密码点击登陆后,再次出现登陆界面要求再次输入一遍
未知电子邮件链接
电脑启动时隐藏在启动邮件中的病毒程序
下载软件时,软件内可能有绑定病毒程序
系统漏洞,等等
2.黑客可获取的用户信息
诸如银行账号、身份证号、平台密码、支付密码、姓名及住址信息等,且不限于截获手机短信验证码和邮件验证码。
另外说明:2019年初,国内250万人脸识别数据被泄露。生物唯一性识别被泄露,对银行和支付宝等平台资产安全造成巨大隐患。
每年都有数十亿用户信息被非法泄露,信息安全距离我们普通人并不遥远。
2018年(参考:贵港网警巡查执法)
前程无忧195万条个人简历信息泄露;
圆通10亿用户信息被出售;
华住旗下连锁酒店2.4亿用户信息泄露,包含身份证号,银行卡号等资料;
顺丰3亿用户信息被出售
……
2019年上半年(参考:骇及安全)
黑客暗网出售8.7亿用户信息;
思捷数据公司6-10T用户信息被窃取;
领英1.6亿用户数据被叫卖;
国内250万人脸识别数据被泄露
……
随着国内对信息及账户安全的普及,二次验证码得到越来越广泛的应用,加上每年都有数十亿各类用户信息被黑客截获或泄露,很多平台开始重视起二次验证功能。几乎所有平台都选择让用户自由选择绑定,如果用户经常登陆,感觉每次输码不方便时还可选择解绑。
从长远来说,二次验证码,人人都有必要开启。
市面上启用二次验证码小程序及同类应用工具的平台
公共平台
微软
阿里云
华为云
七牛云
坚果云
印象笔记
亚马逊
网易邮箱
iCloud
V2EX
Teamtition
Firfox
GitHub
SmartMS
育碧游戏软件平台(Ubisoft)(包括不限于目前国内大火的刺客信条、R星、荒野大镖客等游戏)
各类区块链数字交易所等
……
企业内部平台
百度
易点租
兑吧
……
此外
还有政府新闻媒体平台、游戏交易所及区块链数字货币交易所、全球支付软件PayPal均有使用
!