系统二次验证大佬们有什么解决方案吗? 比如 OA 系统这种看到某些特定界面的时候要求二次验证用户身份才能进行访问这种的.
1
no1xsyzy 2021-04-15 00:26:50 +08:00
TOTP 现在 Google Authenticator 是 de facto 了吧
除此以外就是 OOB,短信发送代码 具体要求参考 NIST 2017 年版的标准指南,Section 5 https://pages.nist.gov/800-63-3/sp800-63b.html#sec5 |
2
dingwen07 2021-04-15 02:46:59 +08:00 via Android
SMS/电话 国内可靠,国外不可靠,SIM Swap 分分钟破掉
TOTP/HOTP 需要安装软件,如 Google Authenticator 或 Microsoft Authenticator WebAuthn 需要 FIDO 安全密钥 Yubico OTP 需要 YubiKey,很贵 也可以开发一个手机端 app 进行推送或者集成 Duo Security 的解决方案 |
3
dingwen07 2021-04-15 02:48:33 +08:00 via Android
对了还有一种 TOTP/HOTP 物理令牌,类似银行那种会显示数字,每隔一段时间或者按压按钮更新的
|
4
jinliming2 2021-04-15 09:05:27 +08:00
安全性要求高的,还可以使用 TLS 双向认证的方案。必须在安装了数字证书的浏览器上才可以正常访问。
或者像一些银行之类的是把证书放在物理 U 盾里定期更新,配合 U 盾驱动免去装证书的麻烦。 |
6
passerbytiny 2021-04-15 10:26:36 +08:00 via Android
首先,“这种看到某些特定界面的时候要求二次验证”的验证,是高安全场所下的“重新验证”,只需要使用原本的认证方式——密码或扫码——即可。它需要的是重新验证一次原来的认证,而不是额外验证其他的认证(这句话中的两个认证,都是名词)。楼上霹雳啪啦那一堆回复,说得是两步认证,很有可能不是楼主想问的场景。
然后,单纯的两步认证的话,TOTP 是最简单也是最可靠的两步认证方式。短信验证只是最省事的方式,但既不简单也不可靠,一般国外大厂都是拿短信验证做辅助或者三步认证。 最后纠正一下楼上的谬论,TOTP 是一种算法,不依赖任何工具,不被 Google Authenticator 或 Microsoft Authenticator 绑定,有很多工具都可以用来支持 TOTP 。 |
7
passerbytiny 2021-04-15 10:44:38 +08:00 via Android
补一个 TOTP 的资料,文章后面还有更原始的引用。https://studymakesmehappy.club/posts/%E4%B8%A4%E6%AD%A5%E9%AA%8C%E8%AF%81%E5%99%A8%E6%98%AF%E5%A6%82%E4%BD%95%E5%B7%A5%E4%BD%9C%E7%9A%84/
|
8
lc7029 2021-04-16 09:08:04 +08:00
用 rsa 令牌,类似银行那种,每分钟生成一个动态密码
|