关于双因素身份验证,首先要了解的是您需要它。对于电子邮件或金融账户来说,安全性至关重要,因此双因素身份验证至关重要,因为它可以大大降低账户被盗的风险。然而,关于双因素身份验证,其次要了解的是,它既有优势,也有局限性。为了有效地使用此工具,您应该了解一些它的工作原理。
密码还不够好吗?
安全存储(例如,存储在加密文件中或记在脑子里)的强密码对于保护帐户安全大有裨益。遗憾的是,人们并不总是会创建强密码或安全地存储它们。此外,传统的密码验证系统存在固有的漏洞。该漏洞在于,由于每次使用密码登录帐户时都必须输入密码,因此每次登录都存在密码被盗的风险。您可以通过小心谨慎来最大限度地降低风险,但即使是谨慎的人也经常会成为网络钓鱼、键盘记录或网络嗅探等攻击的受害者。双因素身份验证可以通过提供第二个身份验证因素来帮助解决这个问题,该因素不需要在每次登录时都透露身份验证密钥。这意味着即使您的密码被盗,只要第二个身份验证因素没有被泄露,您的帐户很可能仍然是安全的。
独立的重要性
双因素身份验证通常被描述为两个身份验证因素,分别涉及“您知道的东西”(例如密码)和“您拥有的东西”(例如手机)。这种理解双因素身份验证的方式并非最佳,因为如今许多人使用密码管理器,并且并非记住所有密码(从某种程度上来说,密码管理器更像是您拥有的东西,而非您知道的东西)。理解双因素身份验证的更好方式是,它通过要求两个独立的身份验证通道来增强帐户安全性。两个通道必须相互独立,以减少两个通道同时被攻破的可能性。完全独立需要满足两个条件。首先,两个身份验证因素应该存储或实施在不同设备上(“您知道的东西”只是一种说法,即您可以将密码存储在被称为“大脑”的设备中)。其次,这两个身份验证因素不应存在任何共同的漏洞,因为这可能会使它们容易受到类似的攻击。我们已经提到过传统密码的一个漏洞——您肯定不希望第二个身份验证因素也存在同样的漏洞。如果您按照标准的双重身份验证设置方法,最终应该会得到两个独立的身份验证通道,但您仍然应该花点时间思考一下您的操作,并确保没有跨越两个通道。例如,如果您使用手机作为第二个身份验证通道,并决定将密码存储在同一部手机上,那么您实际上并没有进行双重身份验证,因为任何窃取您手机的人都会获得您的密码。
一次性密码
当您为帐户设置双因素身份验证时,您需要设置一个双因素设备(例如手机或 Yubikey 等“您拥有的东西”)来生成一次性密码 (OTP),每次登录时都需要与传统密码一起输入。OTP 之所以“一次性”,是因为它每次登录都会发生变化,因此有时也被称为“动态”密码。其原理是,通过在帐户登录时提供正确的 OTP,您可以证明您拥有该设备,因为只有该设备才能生成正确的 OTP。对于我们将在此重点介绍的双因素身份验证类型,动态 OTP 是基于静态密钥和“动态因素”生成的。动态因素使 OTP 具有动态性,但通过提供正确的 OTP,设备可以确认其拥有正确的密钥(因为如果没有密钥,生成正确的 OTP 将非常困难)。密钥与传统密码并没有本质区别——它们都只是静态代码——但在确认方式上却截然不同。传统密码每次确认时都必须显示(这是我们在传统密码中提到的漏洞),但双因素设备允许在不直接泄露密钥的情况下确认密钥。每次登录时,都会通过检查正确的一次性密码 (OTP) 来间接确认密钥,而仅凭 OTP 很难确定密钥。因此,双因素设备提供了一种极佳的方法来防止身份验证密钥被盗——只要设备本身没有被盗!
不同类型的双因素身份验证
HOTP 与 TOTP: 不同类型的双因素身份验证主要通过“移动因素”的实施方式来区分。HOTP 代表“基于 HMAC 的一次性密码”,移动因素是一个简单的计数器,每次生成 OTP 时都会递增。TOTP 代表“基于时间的一次性密码”,在这种情况下,移动因素是时间的流逝(设备每 30 秒生成一个新的 OTP)。TOTP 密码有效期较短,而 HOTP 密码的有效期可能未知。TOTP 需要的维护较少,但设备和我们的服务器之间的时间需要同步,而 HOTP 需要更多维护但无需同步。因此,TOTP 通常被认为是更安全的一次性密码解决方案。然而,对于大多数用户而言,与最初使用双因素身份验证所获得的好处相比,这种差异微不足道。
Google Authenticator 与 Yubikey: Google Authenticator 提供 HOTP 和 TOTP 两种身份验证方式,而 Yubikey 则仅支持 HOTP。两者之间更显著的区别在于,Google Authenticator 是软件令牌,而 Yubikey 是硬件令牌,这意味着 Yubikey 更安全一些,因为它不易受到软件攻击。
双因素恢复、电子邮件和 Kraken Master Key
遗憾的是,双因素身份验证设备可能会丢失或损坏,您应该了解您的网站在这些情况下如何处理恢复。有些网站要求您提前创建帐户恢复选项。在 Kraken,我们提供更大的灵活性,因为您可以在失去帐户访问权限后通过电子邮件请求双因素绕过代码。但这意味着您需要采取一些额外的预防措施。首先,您应该为与 Kraken 帐户关联的电子邮件帐户创建双因素身份验证。其次,您应该为您的 Kraken 帐户创建一个主密钥。主密钥本质上为您提供了一个特殊的身份验证通道,专门用于帐户恢复等敏感信息。创建主密钥后,帐户恢复操作(例如绕过双因素身份验证进行帐户登录)将需要主密钥。创建主密钥时,请不要忘记上面提到的关于维护独立通道的要点。我们的客户有时会犯的一个错误是,他们将主密钥放在用于帐户登录的同一台双因素设备上。这样做的问题当然是,如果设备丢失或被盗,您最终会丢失恢复所需的密钥以及常规身份验证。如果您没有第二个双因素设备来存放主密钥,最好将主密钥设置为普通密码(选择“密码”选项)。只要您将主密钥保存在安全的地方,将其设置为普通密码比将其存储在用于登录的双因素设备上要好。
整合起来
让我们将以上讨论的内容概括成一幅图景,来帮助您保护您的 Kraken 账户。请注意,这绝不是一幅完全安全的图景。我们还提供了许多其他安全工具,虽然这里没有提到,但它们可以进一步保护您的账户安全。但以下工具是一个很好的开始:
帐户登录采用双因素身份验证。
为您的 Kraken 帐户关联的电子邮件启用双因素身份验证。如果您在第一步和第二步中使用相同的双因素设备,请务必为您的电子邮件帐户创建一些双因素绕过代码——这样,即使您的双因素设备丢失,您也不会丢失电子邮件帐户(这对于恢复您的 Kraken 帐户是必需的)。
创建主密钥并将其存储在非常安全的地方,以防被盗或丢失。理想情况下,主密钥应该在双因素设备上创建,但如果没有多余的设备,最好直接使用“密码”选项创建主密钥,并将标准密码存储在安全的地方。无论如何,请勿在用于登录帐户的同一台双因素设备上创建主密钥。
版权说明:本文章来源于网络信息 ,不作为本网站提供的投资理财建议或其他任何类型的建议。 投资有风险,入市须谨慎。
