调研了46款两步验证小程序,得出如下结论

现在谷歌身份验证器越来越缺乏“用户缘”了。

虽然很多启用动态安全验证的平台写上了谷歌身份验证器,但由于其下载难度及无法备份,很多用户并不买账。于是平台教程里多数介绍了使用小程序做绑定验证的方法,而只是在绑定密钥的地方界面上写了谷歌身份验证器的名字。

为什么谷歌身份验证器不如同类应用?

谷歌身份验证器logo蓝底.png

——确实谷歌的名气摆在那里,研发的时间也早——2010年谷歌身份验证器APP便出现了。这让它逐步被全球广泛使用并获得认可,加上没有数据库,使得其基于时间的一次性安全验证OTP变得相对安全。但科技一直在进步,谷歌采取的OTP算法现已被TOTP算法所替代。TOTP采用比OTP更短的一次性验证码时间验证,提供了更安全的、增大黑客破解难度的哈希算法。该方式逐步被密码学领域的广大安全研发爱好者学习并出现了一批新的两步验证类的应用。

而谷歌放佛忘记了 它还有这么一个开源免费的安全验证工具,似乎一直没有怎么更新过其版本。而且安卓端依旧一直没有便捷的扫码功能;而2017年诞生至今的微信小程序同类应用,都已经同步实现了扫描操作。谷歌身份验证器放佛也并不在意其下载量等推广,尤其是中国市场的下载推广,安卓市场根本不存在下载途径,在IOS系统的下载也仅是搜索长传的英文,非常不便

小程序谷歌身份验证器是怎样的?

2017年微信小程序诞生。作为张小龙划时代的杰作,小程序的独特优势——免除APP占用内存和打开速度慢、需要下载的地方,加上其依据微信巨量用户基数、轻便好用的优点,同年便诞生了几款谷歌身份验证器的同类应用。有一款叫做“二次验证码”的小程序,更是随微信内测时期,在2017年第一季度便出现和上线的。

同时小程序中也诞生了一批名为“谷歌身份验证器”挂名的个人研发者上线的应用。他们均采用不同样式的谷歌图标——使用方法与谷歌身份验证器APP是一毛一样的。但无需费事搜索、下载,省去了很多麻烦。迅速得到用户的喜欢。

更多展示谷歌logo的小程序,请搜索微信小程序查看

当然了,他们都是个人应用,只是借用了谷歌的名字/名声,招徕用户点击使用。甚至制作了一批马甲小程序引入流量。查看他们的资料详情,会出现多次修改名称的记录,比如“GA”验证、“HB伙伴”、“动态二次验证码”等。有的为了多引入流量,也占用了其他验证器的名字,“二次验证”、“二次验证码pro”等小程序占用的是2017年初出现的“二次验证码”小程序的名称等。

关于用法的话不必介绍了,但找回密钥的功能,用起来却不够理想。本地备份方面,对于很多用户的找回非常不友好,用户仍旧无法从他们上面找回丢失密钥。

因此,他们虽然改善了谷歌身份验证器的部分缺陷,便利性方面仍有待提高。

调研微信端46款同类应用的结论

微信小程序搜索“两步验证”、“谷歌验证”、“二次验证”等相关词汇,会出现几十种同类应用程序。笔者罗列出46个同类型工具的小程序(搜索关键词有:谷歌验证、二次验证、Google、两步验证、验证、身份宝、MFA、双因素验证、安全令牌、多因素验证、2FA、2ST等等)作出了调研,针对用法、功能点、设计、价位、所属等进行了比较。得出如下结论:

用法上

基本都没有使用教程介绍——仅7个小程序有教程,很多都是抄袭谷歌身份验证器APP上教程去做的,也添加了一些使用二次验证码的平台比如Linux、七牛云、坚果云、货币交易所等。看来很多二次验证小程序并不特别注重用户体验,不过原本也是小众应用,用户基本都是奔着自己使用去的,少量的会去问用法。如果有客服的话这个就不是什么问题。

功能上

基本所有小程序都具备添加密钥、删除密钥功能有些做得比较完善的,会有客服(在线、QQ、微信。但是笔者使用了下,在线从未收到过响应,估计小程序只是业余做一下运营,响应不积极;QQ没有被添加;微信是“二次验证码”小程序的,默认直接添加,对方不是直接回应的,晚些直接问“有什么可以帮您”,使用头像是小程序的安全头像,并且给到公众号文章链接,专门有人在做运营,感觉还不错)

QQ号.png

其他做得更好的:恢复密钥/验证码功能,有5个小程序有备份功能。看来他们都有自己的数据库。其中有1家的备份只是默认复制了密钥,还需要用户自行保存——因此丢失了仍旧无法找回;有3家是本地备份,但本地备份的找回程序比较复杂,不适合普通用户,懂密码学知识的人估计能用它找回;还有2家是付费找回的。倒是可以一步找回,但都需要付费。

个别小程序研发了指纹解锁、pin密码、邮箱找回密码功能,用以加强安全措施。也有个别让用户注册,但是考虑到安全性,不建议使用

变现方式

广告

广告.png

几乎所有小程序都开通了流量主功能。在几个页面的顶部、底部做广告位的收入。

付费

有小程序限制了添加验证码的个数,付费才可以放开,比如“得验证”。每年都得付费才放开添加个数限制。

有小程序直接付费让用户享有开通云服务功能,比如动态验证码、M令牌和二次验证码三个小程序。前两个小程序是同一家公司研发的,可以看出其中一个是马甲小程序,几乎是2018年同期出的。后一个小程序是2017年3月上线的,能看出来从UI设计到用户维护都比较高级些。

找回丢失密钥/验证码的付费

费用来看,第一家公司“动态验证码”、“M令牌”的价格是,6个月起,60起;最高档位498元5年。

第二家公司是“二次验证码”小程序,价格是3个月送1个月,66元起(安卓用户积分最多可以抵扣一半费用,33元4个月;苹果用户免费用);最高档位27个月(2年零5个月)198元(安卓用户积分最多可以抵扣一半费用,99元2年零5个月;苹果用户免费用)

同为公司开发应用,要维护数据库安全,“二次验证码”小程序价位更合理些。

优点

个别小程序添加了能够使用它的平台,方便注重安全的用户进行添加使用。

一些小程序中添加了公众号关联,属于找到客服的另一种途径。

3家公司运营的小程序有官网,体现出专业性。

缺点

几乎有一半的小程序,logo设计比较山寨,在同类应用比较多的情况下,感受会偏差些;

有部分小程序,界面UI设计较差,字体过于密集并出现过多的“分享”位置,广告banner较多,即便有备份服务,但写有代码,给使用者感受也不如干净和使用方法明确的应用强;

基本上所有的小程序都没有微信客服,而自带的客服基本从不回复。

仅二次验证码小程序有微信客服并有超过5个客服接口,回复速度及时。

所属

46个小程序里,有21个是个人小程序;25个公司研发小程序;除去VIPkid的以及其他的公司内部用小程序,差不多20个左右公司研发的两步验证类小程序。

从中可见,很多个人安全研发者嗅到了此类小众安全应用的商机,市场一半都是个人研发上线的两步验证小程序

seo方面

基本上所有小程序都会在小程序应用的相关市场平台免费上传自家小程序做推广;另一部分比较火的推广方式是博客,这方面“章小璋”的小程序、“二次验证码”小程序做得比较出众,前者是个人小程序,研发者属于产品经理,开设有个人的技术博客,发出过较多的安全类的文章,感觉对安全产品的运维、算法有比较丰富的认识;后者是零度科技在线的公司类的小程序,在较多媒体有小程序的用法、算法介绍,积累也非常丰富。

其他小程序则没有更多推广了,很多都是依靠用户口口相传。

优秀两步验证小程序分析

总体来说,同类小程序应用设计、功能参差不齐,有可能你发现这个小程序应用如飞步科技的“二次验证令牌”很好用,调用了指纹验证,并可以备份密钥。界面设计也简单,但看到“我”的界面,却发现它居然使用了用户头像信息!密钥备份也令人费解“备份密钥会覆盖当前密钥、恢复密钥又会覆盖现有密钥”,局限性太大,“福利”是令人诟病的复制支付宝口令领红包;“联系我们”模块索性没有做。

但我们还是发现了令人眼前一亮的小程序。均为公司产品,均有自己的官网。

得验证的优势

300多尺寸.jpg

得验证比较聪明的地方在于分享时,分享图展示的是可以使用它的各类平台,虽然发现有的平台是不能用两步验证功能的,但这是个不错的宣传;

得验证还研发了暴雪游戏专用两步验证。需要下载生成8位数验证码。看来是下了翻功夫。但也只能暴雪用它了吧。

二次验证码的优势

头像.png

比所有平台做得都好的,恐怕就是密钥、验证码找回的功能了吧。这也是谷歌身份验证器的重伤。它采用二次验证码积分“免费兑换云服务”运营方式,鼓励用户自主免费传播和找回;用户不愿多分享一步,想免费找回的话,直接付费也比其他小程序更合理。

界面干净利落——优于其他应用的第二点,用户体验流畅,感受好。

不限制用户绑定个数。这点比得验证做得好(得验证需付费放开限制)

关于安全问题的思考

二次验证码(叫法很多,其他叫法名称包括但不限于:谷歌二次验证码、身份宝、2FA、两步验证、虚拟MFA等)实质是在用户登陆系统时再加一把锁,这把锁就是30秒变化1次的一次性动态安全验证码,黑客无法使用有效手段做出破解,即便黑客获取了用户名和密码也无法登陆,从而保护用户账号安全。

谷歌身份验证器为什么没有找回功能是因为数据只要保留,便有丢失的风险,索性不做数据库。但这为很多用户带来使用上的不便。目前一些小程序使用备份服务,就存在谷歌当时的风险,就需要考虑到密钥泄漏、数据库或服务器遭黑客攻击的风险

黑客.jpg

其他具备数据库备份功能的应用并没有查到其安防措施,但查到二次验证码小程序在微信开放平台放出的自我介绍的数据库及服务器安防措施,内容非常爽利,清晰介绍了黑客无法破解的算法及招数,从2017年微信小程序内测时上线至今,看起来是考虑长远发展的一个平台。

调研了46款两步验证小程序,得出如下结论(点击查看链接)

鉴于此,推荐各位使用二次验证码小程序(得验证不具备密钥找回功能)

终话

国内小程序确实是一个神奇的应用,它大大提高了用户的便利性。在小程序的普及下,希望安全类应用在国内能够得到更快、更普遍的传播发展,我国是互联网大国而非互联网强国,我国政府部门曾多次遭遇来自美国、日本的攻击,民众信息得到不同程度的泄漏,在此呼吁大家注重个人隐私、财产安全。同时疫情期间也频频爆发出企业远程办公及游戏等平台遭遇黑客攻击的新闻,甚至武汉等冠状病毒研究所前段时间也遭遇过黑客袭击,二次验证码相关应用需要得到普遍应用,安全问题,不容忽视。

你可能感兴趣的:(加密算法,加密技术,算法,安全防护,账号安全)