近日Digital Shadows发布一项新研究:有240亿个用户名和密码被公布在暗网上,在短短两年时间内,居然增加了65%,其中9200万个密码使用“123456”,“qwerty”、“password”、“1q2w3e”也非常多,无不令人咋舌!
为什么弱口令“屡禁不止”?
只有一个解释:便于记忆!
我们生活在互联网大环境下,各种各样的软件琳琅满目,全网软件数量少说几百万吧,我们每个人常用的软件怎么着也有几十个,处处有帐密,如果每个软件使用复杂的、不一样的、没有规律的密码,恐怕只适合天才,咱们常人望尘莫及!所以我们不得不设置简单的、有规律的密码,这就存在了安全隐患!
有没有一种方式:既简单又安全?
有需求自然有解决方案,那就是双因素认证!
第一种因素(静态密码)可以设置很简单,第二种因素可以使用动态口令、短信验证码、生物识别,动态口令和短信验证码是随机数,安全级别和实用性上非常高,生物识别安全性更高,实用性上欠缺,所以现在企业广泛使用动态口令或短信验证码做双因素认证!
动态口令和短信验证码孰优孰劣?
先说短信验证码
短信验证码是通过发送验证码到手机的一种有效的验证码系统,各网站通过接口发送请求到接入商的服务器,服务器发送随机数字或字母到手机中,由接入商的服务器统一做验证码的验证。
基础架构
首先增加一台CKEY双因素认证服务器,作为双因素管理平台;
然后增加一个短信网关,发送验证码;
最后需要用户的手机号码,接收验证码;
此时用户登录时,就需要用户名、静态密码、短信验证码进行登录,以此完成安全登录闭环!
短信验证码优势
1、在原有的用户名、静态密码基础上增加双因素认证,安全有保障;
2、通过手机号即可接收验证码,使用方便;
所以优势总结就是:安全又方便!
同样短信验证码也存在一定的缺点
1、短信验证码受信号干扰严重,有可能无法收到验证码;
2、短信验证码是通过网络传输的,有被拦截的风险;
缺点总结就是:稳定性和可靠性欠佳
再来看动态口令
动态口令(Dynamic Password)是根据专门的算法生成一个不可预测的随机数字组合,被广泛运用在网银、网游、、电子商务、企业等应用领域。
基础架构
1、增加一台CKEY双因素认证服务器,作为双因素认证管理平台;
2、为每个用户绑定一个手机APP令牌,实时生成动态口令;
以此实现用户名、静态密码、动态口令登录。
动态口令优势
1、动态口令的生成和接收是独立生成的,不需要网络传输,也不会受到网络干扰;
2、伴随手机随身携带,随用随取;
安全性更高!
缺点的话就是使用上没有短信验证码那么方便!
综合来讲
短信验证码和动态口令各有千秋,如果你的系统想要更安全但安全等级没那么高,就选择短信验证码,如果你的系统安全要求非常高,就选择动态口令,便捷和安全这种选择!
