目前身边人用二次验证码小程序的越来越多,填写完用户名和密码,点完登陆后,再输入自己手机里的二次验证码才能真正进入系统。二次验证码每30秒变化一次,可以有效预防别有用心的人以某种途径进入你的系统,造成隐私或财产的损失。
但也有很多人对二次验证码表示不解。为什么玩游戏、远程登陆公司系统、使用团队协作软件要使用二次验证码呢?点登陆后还得输入二次验证码,感觉比较麻烦,是什么原因让它能够信心十足地预防黑客的攻击呢?
下面根据这边的资料,来为大家仔细描述下二次验证码
二次验证码是什么?
二次验证码又叫做谷歌身份验证、双因素验证、两步验证、虚拟MFA、2stp。它是一款在2017年随微信内测出现的小程序产品。用来将平台给到的密钥生成6位数动态认证码的工具,并在必要时可找回丢失密钥。通过此操作可预防别有用心的黑客攻击,极大地提高了平台账户的安全性。
采用什么技术协议?
二次验证码参照国际上谷歌身份验证器,采用internet工程任务组标准RFC6238协议,基于共享密钥和当前时间计算一次性密码的TOTP算法。基于时间、事件和密钥三变量,每30秒变化1次认证码(30秒是综合考虑安全性和可用性的结果)
该技术优势是什么?
基于时间的一次性密码生成算法TOTP提供了有效时间更短的一次性密码,增强了一次性密码OTP算法的安全性。
二次验证码的使用
无需下载
微信小程序搜索“二次验证码”即可找到。不必像谷歌身份验证器,需要英文搜索查找,下载(谷歌身份验证器安卓端不容易找到和下载,且不具备扫码功能)
添加密钥
扫码添加和手动输入添加密钥两种形式。通过添加密钥可以生成六位数字动态验证码,每30秒变化一次,用以在登陆、改密、支付交易时输入进行用户身份的验证。该验证码功能有效阻断了黑客的攻击。
删除验证码
选中验证码,从最右端左滑,出现删除按钮。如果没有购买云服务,删除后密钥同步不见,如果不打算购买云服务找回丢失密钥,可以提前复制好密钥,保存好下次再做使用。
找回验证码
如果因为各种原因,密钥丢失了,二次验证码里的云服务可以协助用户找回2018年5月12日之后绑定丢失的密钥。
因为维护数据安全需要成本,云服务需要付出一定的价值。安卓用户只能付费开通云服务。苹果用户可以免费开通,直接积分兑换云服务即可。
云服务优势
云服务可以找回密钥
云服务在一定程度上保证了二次验证码的服务质量及应用可靠性。
二次验证码的云服务为用户提供了很大便利性,为很多意外情况提供了保障。这让很多因为刷机、手机遗失、更换手机、清理缓存、移除应用程序、误删数据、手机故障等造成密钥丢失的用户可以即时找回丢失密钥,藉以不影响用户安全使用的及时性。尤其保障一些重要账户进行交易等操作的无误差。加上很多用户自身存储电子密码并随时查用本就是个问题,二次验证码的存储功能对于密钥存储本就是个好安置。
对比竞品谷歌身份验证器
至于安全方面,单看竞品——国际最广泛应用的谷歌身份验证器,它在手机遗失后,验证码就跟随遗失了,这样给别有用心的人盗取机主信息更多可乘之机。加上即使没有网络,谷歌身份验证器也依旧正常运行生成验证码,更是给机主账户安全多了层风险。
而二次验证码小程序就不同了,它是跟随微信的应用。用户意识到手机遗失时可以随时找另一手机登陆微信顶掉之前应用,便可确保手机密码被破解后,机密网站不被登陆。从这点上,它保证了用户信息的安全。即便黑客获取到用户手机,也对此束手无策。
云服务解决不限于以上问题类型,也是显著优于谷歌身份验证器的部分,如下
云服务的开通操作
安卓手机需要支付一定费用——虽然二次验证码对比个别应用平台,找回方法简便且费用更合理,且有长期赠送免费时长和积分抵扣费用活动;
苹果用户可以直接免费,用积分直接兑换云服务使用。此公益性的方法得到很多用户的追捧喜欢。
不用过度理想化云服务
没有用过二次验证码小程序,密钥不能被找回的。比如在其他平台绑定过密钥,最后因为卸载应用丢失,用户再想用二次验证码小程序找回密码,是不现实的。
如果用户不愿开通云服务,则无法找回丢失密钥。此时二次验证码建议用户自行截屏方式保存好自己密钥,直接使用小程序添加密钥生成认证码。
安防设置
市场上同类APP或小程序算法类似,但一般都没有找回丢失密钥的功能。该项功能获得大量用户青睐,自2017年产品成立至今,二次验证码累计百万忠实用户,随着国内平台对账户安全的重视以及国外产品进一步扩展到中国市场,二次验证码将获得更多的用户群体。
随之而来,一些人也会产生疑虑:毕竟是密钥服务,安全保密性需要很强,而其他同类型工具几乎均无保存密钥功能,唯独二次验证码小程序可以,会不会有风险?
数据库安防设置
AES256加密算法,黑客无法破解
二次验证码的数据库安防可谓严丝合缝。虽然花费了大量时间精力与资金用于研发、模拟黑客攻击,公司内部感觉还是非常值得的。“只有内部认可的绝对安全,才更有信心面对用户”,二次验证码采用美联邦AES-256加密算法,让黑客破解变为不可能。
随机盐+PBKDF2-SHA256
普通的MD5验证速度比其他算法更快,但是已被密码学家破解。普通加盐方法后来也证实被破解。最后综合速度与安全可用性,采用随机加盐方式,这样用户密钥更安全。
使用十万轮高级加密技术PBKDF2-SHA256加强身份验证哈希,这种额外的加强使得黑客更难加速攻击哈希。
这样的结果是:密钥即便在公司内部,也始终以密文形式存储在数据库,即使是公司的技术和研发,也无法看到、搜索或使用任何方法破解到用户真实密钥。外部攻击更是束手无策。
服务器存储优势
除了综合采用国际密码巨头公司美国波士顿lastpass(上市密码管理器公司,1780万个人用户,61000+企业用户)、加拿大1password(2019年天使轮融资2亿美元的密码管理器公司,1000万用户,5000+企业用户)的加密算法及定期检测管理,公司也采用了分布式本地存储方式(杜鹃哈希算法)及备份管理(存储方式优于以上两家公司)。
分布式存储优势:
做最坏打算(一般是不可能发生的,但考虑到国际最受欢迎的密码管理公司lastpass经常遭到黑客光顾,考虑安全性,还是有必要的,凡事都有个万一),万一黑客盗取用户的账户信息,会发现密钥不知道存储在哪个服务器,而这在短时间内将使其攻击失效
备份管理优势:
避免企业内部员工认为删除数据造成损失。
不使用公共云存储:
为用户安全考虑,加上目前仅运营小程序业务,不做云存储也是降低用户信息被窃取的安全策略之一。
尤其值得一提的是,分布式存储管理的方式是终极策略——若真有黑客进入数据库的一天,发现自己也只能拿到部分分散账户,密钥分散存储在另外某存储器中,反之亦然。而何况,公司曾经模拟过:黑客暴力破解失败——二次验证码小程序可应对每秒3500亿次攻击。
事实上,具备如此缜密的思虑,公司内部计划把小程序作为其中一项密码安全产品,后期打算开发国内没有过成功案例的团队密码管理服务。
模拟黑客攻击
黑客攻击一般最有效的手段是暴力破解,采用枚举法逐一尝试。但二次验证码小程序可抵御每秒3500亿次攻击,因此该手段失效。
而曾经网传黑客5分钟破解AES256算法的,经核实实际上是绕过了这种无法实现的攻击方法,采用的物理攻击方法:旁路攻击。且针对是无线网路由器的WIFI密码。该方法因为一定要借助物理办法,也无法实现,而且即便是手中实现了各种满足要求的精密仪器,具备实验室实验者的密码破解及各类硬件头脑,实现的话也得需要5分钟。
拖库攻击目前也被验证不可能。无后门程序,也暂未发现系统漏洞。内部安防中也按流程定期更换密码及做加密保护提升安全性、定期检测等措施以确保安全。
目前用户群体
据客服所做用户调研不完全统计,目前小程序用户遍及政府、媒体、企业远程办公、各类全球性办公软件、技术交流社区平台、大数据云服务、游戏、区块链数字货币交易所、社交软件、浏览器、购物网站、国际货币支付平台等。积累了百万忠诚用户,并在与用户沟通中使小程序产品更加简洁和人性化。
由于我们还是“互联网大国而非互联网强国”,国内互联网黑产市场缺乏约束制度,加上安全产品的无力致使国内平台的账户安全长期存在巨大隐患,用户个人身份信息、密保验证信息及账号密码被黑产黑客倒卖、洗库、撞库操作后,导致个人或平台的小到信息隐私泄漏或损失,大到资产被窃取的巨大影响或致命打击,二次验证码小程序在国内安全使命的道路还很漫长。