二次验证码是什么?
二次验证码又叫做谷歌身份验证、双因素验证、两步验证、虚拟MFA、2stp。它是一款在2017年随微信内测出现的小程序产品。用来将平台给到的密钥生成6位数动态认证码的工具,并在必要时可找回丢失密钥。通过此操作可预防别有用心的黑客攻击,极大地提高了平台账户的安全性。
虽然开通二次验证码后,在进行登陆、改密以及交易操作会感觉比之前要麻烦点,电脑二次验证码可以有效抵御黑客攻击却是无可辩驳的事实。
二次验证码使用(对比谷歌身份验证器)
基础功能
关于验证码的增、删、改、方面(查找功能这方面,都没有筛选功能,不作分析。而且除非是绑定了成百上千账号,否则没有查找的必要性。国内暂时也没有太多绑定安全验证的平台,加上个人遇到的可能性不会很大,所有类似的两步验证工具都几乎都没有查找的功能)
对了忘记一个对比:二次验证码是小程序,无需下载;谷歌身份验证器是APP,需要应用商店下载
增
这里指添加密钥生成6位数动态安全码。
二次验证码小程序支持扫码、手动输入密钥两种形式
谷歌身份验证器理论上也支持,但安卓版不支持扫码功能,这是比较麻烦的一点
删
删除多余或不用的验证码。
二次验证码小程序要删除的那个码从最右端左滑,出现删除按钮,删除前提醒先在平台解绑。
谷歌身份验证器需要长按,顶部出现删除按钮,删除时同样先提醒后果
改
密钥添加成功,已经生成验证码后:
二次验证码没有修改功能,只能在添加前可以改;
谷歌身份验证器可以修改账户名称。方法同修改时一样,先长按选中验证码,再修改
总结
二次验证码使用方便,无需下载,微信直接查找即用即开。添加密钥功能相对方便好用(用户一般用的就是这个功能),删除也不费事儿;缺点是添加后无法修改账户名称和备注。
谷歌身份验证器需要下载APP,功能缺陷是安卓端无法扫码添加密钥;删除比二次验证码多操作一步;好的地方是可以修改账户名。
高级功能
二次验证码具备云服务
谷歌身份验证器没有更多服务了
云服务主要功能:找回丢失验证码
深层解释一下,你会觉得用途很大。比如你在丢失手机、更换手机、刷机、移除小程序、清理缓存、误删验证码等情况下,无法登陆账户。很多用户会觉得非常麻烦,甚至绝望。此处云服务就派上用场了,你可以随时找回丢失验证码,微信在则验证码在。上图
二次验证码还有个更好的服务是——有客服入口,这能给到用户更多更好的体验服务。
安全性对比
基础安全
二次验证码验证码算法为RFC6238协议的TOTP算法。黑客破解的话需要大量长时间算法,至今无法破解,加上30秒时间的限制,基本上可以是最安全的了。因此被国际普遍使用。
除了生成验证码的算法,二次验证码因为用到云服务,采用了pbkdf2-sha256十万轮加密以及随机盐。并且服务器上是分布式本地存储➕备份。
这样安全性几乎是无懈可击了,数据库密文展示,即使内部技术研发也无法看到和破解。
谷歌身份验证器同样使用RFC6238协议的TOTP算法。因为没有云服务,就没有额外其他算法及加密技术了。
黑客攻击测试
二次验证码被证实无法被黑客破解;
谷歌身份验证器亦然
总结
安全性上,二者具备一样的安全设定。
终话
总结来说,关于每次使用,二次验证码小程序更加轻便、添加功能也更完善;缺点是无法修改,但比较起添加服务,这个优先级上没有更小些;谷歌身份验证器添加功能弱一些,但可以修改账户。
二次验证码有云服务,谷歌身份验证器没有。如果想要更加方便、高效地使用,还是二次验证码小程序更加好用些。
安全方面,谷歌身份验证器和二次验证码都采用RFC6238协议的TOTP算法,由于多出云服务,二次验证码花费了更多的费用在数据库安防算法及加密验证,并斥资进行本地服务器分布式存储和备份,来使它的安全性更高,更无懈可击。
综合来讲,还是打算支持国产,使用二次验证码小程序,毕竟也是经过3年多的用户磨合,在微信小程序内测时期就出的安全类产品。你们这边有更好的同类应用吗,留言告诉这里,共同探讨学习安防知识。