 |
actckV2EX 第 175850 号会员,加入于 2016-06-03 13:26:53 +08:00今日活跃度排名 7337 |
actck 最近回复了
22 小时 37 分钟前 回复了 cmos 创建的主题 › 职场话题 › 12 月工作了 312.5 小时,周末半天休息 |
@magicluna01 他想不想我不知道 我会笑
2 天前 回复了 luckyfly 创建的主题 › 宽带症候群 › 魔都网龄 21 年的电信用户携转联通后的碎碎念 |
电信:低值用户 不挽留
7 天前 回复了 zictos 创建的主题 › 罗技 › 为什么罗技鼠标明明很容易变双击以及滚轮回滚,还那么多人推荐? |
你看 即使你说出了事实,还有一堆人认可了这个事实,还有人说多大事,自己换个微动,这就是原因,不管这些人是拿了钱的水军还是没拿钱的电烙工
9 天前 回复了 livenpc 创建的主题 › 云计算 › 为啥国服腾讯云登录方式把 passkey(通行密钥)阉割了? |
@kenvix 不是一个层级,但也允许做为同一个层级的实现,平台不允许将 passkey 作为 MFA 通关因素只是自作主张脱裤子放屁罢了 人 github 为什么允许?
人平台是那么实现的,我也没觉得有什么问题,毕竟不止一个阿里群辉在这么用,大部分平台都没有实现 [有用户标志的鉴权凭证] ,大部分平台实现的都是你说的这样。
1. github 有用户标志的鉴权凭证 会将 uid 写入 passkey ,无需用户名密码 可以一键登陆,无需其他因素实现 MFA ( github 提供了选项 允许你跳过)
2. 大部分平台,无用户标志的鉴权签名,不写 uid ,需要填写用户名,此类平台一般强制要求其他因素实现 MFA
3. namecheap ,passkey 一键登陆,并且与其他 MFA 因素互斥,不像 github 一样提供选项是否执行其他 MFA 校验
人平台是那么实现的,我也没觉得有什么问题,毕竟不止一个阿里群辉在这么用,大部分平台都没有实现 [有用户标志的鉴权凭证] ,大部分平台实现的都是你说的这样。
1. github 有用户标志的鉴权凭证 会将 uid 写入 passkey ,无需用户名密码 可以一键登陆,无需其他因素实现 MFA ( github 提供了选项 允许你跳过)
2. 大部分平台,无用户标志的鉴权签名,不写 uid ,需要填写用户名,此类平台一般强制要求其他因素实现 MFA
3. namecheap ,passkey 一键登陆,并且与其他 MFA 因素互斥,不像 github 一样提供选项是否执行其他 MFA 校验
10 天前 回复了 livenpc 创建的主题 › 云计算 › 为啥国服腾讯云登录方式把 passkey(通行密钥)阉割了? |
@placeholder 微软不是支持本机 passkey 库同步到微软账号了吗,如果你 passkey 都要上云,建议你 1p 和 bw 方案,这两是跨平台的。我的 1p 和 bw 都是仅限于录入不支持 passkey 登陆的网站,passkey 不上云
10 天前 回复了 livenpc 创建的主题 › 云计算 › 为啥国服腾讯云登录方式把 passkey(通行密钥)阉割了? |
有了 passkey ,我甚至想将一众手机验证码什么的都解绑掉,无奈这在国内平台是不可能的,甚至国外的平台也强制你至少保留邮箱或者手机。即使不能解绑,也不希望手机号邮箱作为 MFA 和 reset password 的方式
10 天前 回复了 livenpc 创建的主题 › 云计算 › 为啥国服腾讯云登录方式把 passkey(通行密钥)阉割了? |
说 passkey 比一众 MFA 验证码不安全的了解过机制吗?
手机验证码或者各第三方 MFA 这种寄人篱下的东西 你如何保证平台不监守自盗?
passkey 其认证请求虽然存在被伪造的可能性,但这在 passkey 的技术框架中已经考虑到了,所有签名认证过程都需要手动确认(物理密钥 物理接触秘钥确认 不讨论 1p 和 bw 这种软 passkey ),你的意思是你家的猫添了你秘钥一口导致认证被确认 所以安全性比你的 MFA 低吗?
手机验证码或者各第三方 MFA 这种寄人篱下的东西 你如何保证平台不监守自盗?
passkey 其认证请求虽然存在被伪造的可能性,但这在 passkey 的技术框架中已经考虑到了,所有签名认证过程都需要手动确认(物理密钥 物理接触秘钥确认 不讨论 1p 和 bw 这种软 passkey ),你的意思是你家的猫添了你秘钥一口导致认证被确认 所以安全性比你的 MFA 低吗?
Select Language