在数字化信息化的今天,“帐号”成为每个人必不可少的网络通行凭证,它关联着个人的数字资产与隐私,甚至影响着现实资产的安全性。
如何确保用户帐号安全,是所有开发者都极为重视的问题,而“认证”——确认用户身份,就是保障帐号安全性的关键步骤。
我们时常看到这类新闻:银行APP密码泄露,存款被转移造成重大经济损失;游戏帐号被他人恶意登录,氪金购买的道具被全部清空;社交帐号出现不明异地登录,并发布不当言论……
随着网络技术的日益发达,登录方式越来越便捷,而利用帐号登录的漏洞,非法登录他人帐号,损害他人利益或获取不当利益的事件也层出不穷,产生这些事件的重要原因就是认证方式单一,登录过程不严谨。
用户名+密码的认证方式过于简单,一旦用户密码泄露,就可能造成无法挽回的损失,如何应对上述出现的现象与问题?
答案就是双因素认证方式,这种认证方式填补了确认用户身份这一过程中可能出现的漏洞,极大程度地保证了用户的帐号安全。
什么是双因素认证?
双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。
通俗地说,就是在用户名和密码的组合之外,增加了一层随机性极强的安全认证,即动态验证码,用于确保登录和使用帐号的用户身份的安全性,业界也通常称为两步验证,或多因素验证。
因每次认证时的变量不同,每次产生的验证码也不同。由于每次计算时参数都是随机的,每次的验证码也具有不可预测性,从而在最基本的密码认证这一环节保证了登录的安全性。
双因素认证适用场景多样化,一般来说,只要有静态密码的地方都能集成双因素认证。
现如今,双因素认证已广泛应用于各大领域,表现形式包括网上银行的U盾、短信验证码等。不管是金融垂域、社交垂域还是影音垂域,用户名+密码+动态密码的认证方式,都成为网站及APP进行风险规避的有效手段,成为相关用户群体数字资产与个人隐私的有力保障。
目前,双因素认证的设备与技术已经相当成熟,其解决方案主要有三个组成部分:
认证设备(令牌)、代理软件及管理服务器。
认证代理软件在终端用户和需要受到保护的网络资源中间发挥作用,当一个用户想要访问某个资源的时候,认证代理软件将请求发送到认证管理服务器进行认证。
为了保证双因素认证的操作性,负责接收双因素认证请求及验证、双因素认证管理工作的服务器,需要具备相当高可靠性与安全性,能够支持多种双因素认证设备,并能够方便与企业IT基础设施融合,包括前端网络设备及业务系统的接入,以及后端的帐号系统如AD、LDAP等。
对于个人开发者与中小型企业而言,从数据资产安全性与可靠性考虑,双因素认证是相当必要的,但投入大量成本研发代理软件与管理服务器未免得不偿失,集成市面上已经具有双因素认证服务的帐号体系,不失为最佳选择。
华为帐号的双因素认证功能历经开发者与市场考验,其安全性毋庸置疑,而且华为帐号服务风险实时通知、遵循GDPR隐私规范,对帐号安全进行多重保障,还可以帮助应用自动读取验证码,亦可通过用户授权读取,进一步提升用户验证体验。
欲了解更多详情,请参阅: 华为帐号服务
>>访问华为官方论坛
原文链接:developer.huawei.com/consumer/cn…
原作者:胡椒