伊隆·马斯克|网传学习通1.7亿密码泄露!有什么补救措施?

伊隆·马斯克|网传学习通1.7亿密码泄露!有什么补救措施?

文章图片

伊隆·马斯克|网传学习通1.7亿密码泄露!有什么补救措施?

文章图片

伊隆·马斯克|网传学习通1.7亿密码泄露!有什么补救措施?

近日 , 网传学习通密码泄露 , 超1.7亿条隐私数据被售卖 , 包含密码!一度冲上微博热搜!

紧接着 , 学习通官方回应消息不实!

消息是否属实咱们暂且不论 , 说个老生常谈的问题:密码泄露!
我们作为网民 , 我们的衣食住行都依赖于网络 , 特别是密码 , 是我们网络空间的钥匙 , 一旦被盗用 , 黑客就可以长驱直入 , 如入无人之境 , 后果不堪设想!
黑客之所以黑 , 就是他们无所不用其极 , 采用各种各样的手段达到想要的目的 , 所以很难做到不被窃取密码 , 这个时候就需要换一个防御手段:如果密码已经被窃取 , 如何防止黑客登录我们的账号?
这时候双因素认证横空出世!
双因素认证就是两种认证因素 , 密码是一种 , 动态口令或指纹识别或人脸识别或短信验证码等是第二种 , 双剑合璧 , 加强安全!
咱们拿学习通来讲 , 学习通是主要面向C端用户的互联网产品 , 用户只需要输入用户名密码就可以登录 , 这样就会有很大的风险 , 如果网传信息为真 , 大量的账号就不再安全 , 这时候就非常适合增加双因素认证加强安全 , 方案如下:
因为是C端互联网产品 , 生物识别类不太适合 , 短信验证码是最合适的 , 在用户名、静态密码的基础上 , 增加短信验证码 , 做到双因素认证 , 简单说下实现方法:
原先的架构非常简单:部署服务器 , 为用户提供服务即可

现在需要增加双因素 , 架构上就会有所改变:

【伊隆·马斯克|网传学习通1.7亿密码泄露!有什么补救措施?】首先增加一台CKEY双因素认证服务器 , 作为双因素管理平台;
然后增加一个短信网关 , 发送验证码;
最后需要用户的手机号码 , 接收验证码;
此时用户登录时 , 就需要用户名、静态密码、短信验证码进行登录 , 以此完成安全登录闭环!
短信验证码安全吗?首先增加短信验证码和不增加短信验证码相比 , 安全级别上肯定是有非常大的提升 , 但是短信验证码也存在一定的缺陷:
1、短信验证码受信号干扰严重 , 有可能无法收到验证码;
2、短信验证码是通过网络传输的 , 有被拦截的风险;
针对安全性要求非常高的企业 , 他们会采用另一种方式:动态口令!
动态口令架构又会有所不同:
1、增加一台CKEY双因素认证服务器 , 作为双因素认证管理平台;
2、为每个用户绑定一个手机APP令牌 , 实时生成动态口令;
以此实现用户名、静态密码、动态口令登录 , 此时动态口令的生成和接收是不需要网络传输的 , 因此也不会受到网络干扰 , 可以完美规避短信验证码的弊端 , 只是相对的没有那么的方便 。
综合来看:短信验证码和动态口令都能很好的加强登录安全保护 , 两者各有利弊:
短信验证码使用非常方便 , 稳定性和安全性上没那么高 , 适合安全要求不是太高的C端互联网应用;
动态口令安全性更高 , 使用上会稍微麻烦一些 , 适合安全要求高的C端互联网产品和企业级产品;
具体怎么选 , 根据自身的实际情况而定 。