V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Mroldx
V2EX  ›  程序员

系统二次验证大佬们有什么解决方案吗?

  •  
  •   Mroldx · 2021-04-14 22:40:10 +08:00 · 2010 次点击
    这是一个创建于 1312 天前的主题,其中的信息可能已经有所发展或是发生改变。

    系统二次验证大佬们有什么解决方案吗? 比如 OA 系统这种看到某些特定界面的时候要求二次验证用户身份才能进行访问这种的.

    8 条回复    2021-04-16 09:08:04 +08:00
    no1xsyzy
        1
    no1xsyzy  
       2021-04-15 00:26:50 +08:00
    TOTP 现在 Google Authenticator 是 de facto 了吧
    除此以外就是 OOB,短信发送代码

    具体要求参考 NIST 2017 年版的标准指南,Section 5
    https://pages.nist.gov/800-63-3/sp800-63b.html#sec5
    dingwen07
        2
    dingwen07  
       2021-04-15 02:46:59 +08:00 via Android
    SMS/电话 国内可靠,国外不可靠,SIM Swap 分分钟破掉
    TOTP/HOTP 需要安装软件,如 Google Authenticator 或 Microsoft Authenticator
    WebAuthn 需要 FIDO 安全密钥
    Yubico OTP 需要 YubiKey,很贵
    也可以开发一个手机端 app 进行推送或者集成 Duo Security 的解决方案
    dingwen07
        3
    dingwen07  
       2021-04-15 02:48:33 +08:00 via Android
    对了还有一种 TOTP/HOTP 物理令牌,类似银行那种会显示数字,每隔一段时间或者按压按钮更新的
    jinliming2
        4
    jinliming2  
       2021-04-15 09:05:27 +08:00
    安全性要求高的,还可以使用 TLS 双向认证的方案。必须在安装了数字证书的浏览器上才可以正常访问。
    或者像一些银行之类的是把证书放在物理 U 盾里定期更新,配合 U 盾驱动免去装证书的麻烦。
    q197
        5
    q197  
       2021-04-15 09:15:28 +08:00
    @dingwen07 查了以下 SIM Swap,怎么会有这么坑的运营商,手机号随随便便就补办的意思?
    passerbytiny
        6
    passerbytiny  
       2021-04-15 10:26:36 +08:00 via Android
    首先,“这种看到某些特定界面的时候要求二次验证”的验证,是高安全场所下的“重新验证”,只需要使用原本的认证方式——密码或扫码——即可。它需要的是重新验证一次原来的认证,而不是额外验证其他的认证(这句话中的两个认证,都是名词)。楼上霹雳啪啦那一堆回复,说得是两步认证,很有可能不是楼主想问的场景。

    然后,单纯的两步认证的话,TOTP 是最简单也是最可靠的两步认证方式。短信验证只是最省事的方式,但既不简单也不可靠,一般国外大厂都是拿短信验证做辅助或者三步认证。

    最后纠正一下楼上的谬论,TOTP 是一种算法,不依赖任何工具,不被 Google Authenticator 或 Microsoft Authenticator 绑定,有很多工具都可以用来支持 TOTP 。
    passerbytiny
        7
    passerbytiny  
       2021-04-15 10:44:38 +08:00 via Android
    补一个 TOTP 的资料,文章后面还有更原始的引用。https://studymakesmehappy.club/posts/%E4%B8%A4%E6%AD%A5%E9%AA%8C%E8%AF%81%E5%99%A8%E6%98%AF%E5%A6%82%E4%BD%95%E5%B7%A5%E4%BD%9C%E7%9A%84/
    lc7029
        8
    lc7029  
       2021-04-16 09:08:04 +08:00
    用 rsa 令牌,类似银行那种,每分钟生成一个动态密码
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1014 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 19:55 · PVG 03:55 · LAX 11:55 · JFK 14:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.