双因子认证!这4种身份认证方式你都了解吗?
双因子认证的小科普
前几天公司里忽然出现了一个陌生人,坐在甄梵仁的位子上。
正当我打算和他打个招呼时,他却脱口而出:“贾正经,好久不见!”
这声音不是甄梵仁的吗?他整容了??
这整的怕是他妈都不认识了吧!
当然,整容变帅了是件好事,但是却有一件事让他很苦恼——
输入密码后, 没办法通过手机软件的人脸识别!
可能很多人会问,明明已经有密码认证,为什么还要多设一层防护手段?活该了吧!
这就不得不提到一个概念——双因子认证。
在黑客横行的现在,单单依靠一串密码实在不能确保账户的安全。
尤其许多人也许是偷懒,也许是怕忘记,会设置简单的密码(能多简单就设置多简单)。
去年最弱密码 TOP 5 如下所示
榜单第一名属于铁打的“123456”,从2013年开始它就稳稳占据冠军宝座。
现在大约还有3%的人用它做密码。
这是什么概念?大概就是随便选择33个QQ,密码都输入123456,就能登录上去一个吧。
你甚至可以用这个密码登录乌克兰国防系统。
就是这些令人哭笑不得的弱密码,让许多公司操碎了心。
所以为了避免用户爸爸的账号被盗,他们采用了一种安全策略:双因子认证(2FA),英文名为:Two-factor Authentication。
也就是说,除了密码,还要用另一种非密码形式的验证因素来确认使用者的身份。
比如:短信验证、邮件验证、生物识别……
就好比你按开了自家门的电子锁,还要通过自家恶犬的检测……
然而,目前市面上的大多数双因子认证都有着自己的缺陷:安全系数不足。
先说说如今较常见的双因子认证之一:
一、人脸识别
市面上大部分使用人脸识别技术的软件,其识别流程大致如下:
检测人脸 → 活体检测 → 人脸对比→ 分析对比结果 → 返回结果
其中活体检测即在人脸识别时,要求用户进行眨眼、点头、张嘴等动作,以防止被静态图像破解,或者你在睡觉时被人偷偷解锁。
但是,已经有团队做出,不仅能让一张自拍照眨眼,还能变成可控制的3D人脸模型,并以此骗过了人脸识别,成功刷脸登录账户。
而且许多人脸识别是没有活体检测的环节,你只需要一张照片就能简单通过检测。
例如这样都能过检测
二、短信验证
再来说说短信验证。
因为手机与用户的零距离特性——现代人一旦离开手机,就与世界失联。所以如今大部分的公司都采用短信验证。
然而,短信验证码很容易被不法者拿到:手机复制卡、基站监听、获得短信权限的恶意APP……许多途径都能拿到你的验证码。
前段时间豆瓣网友“独钓寒江雪”就因为被恶意监听短信验证码而导致支付宝、京东及关联银行卡等一夜间被全部盗刷。
基于此,短信验证码本身的安全性并不高,它只是提高了与密码匹配使用时的“概率安全性”。
三、指纹解锁
再说说指纹解锁。常见的指纹识别原理有四种:热敏、电容、光学和超声波。
方法看着虽多,但是套路都是一样的:采集指纹的纹路(废话!指纹解锁肯定采集指纹)
热敏型利用指纹凹凸不平产生的热量差;
电容型利用指纹凹凸不平产生的电容差;
光学型利用光线反射,相当于给指纹“拍照”;
超声波型利用声波反射来判断凹凸纹路;
原理图
然而手指按在玻璃屏上,由于汗渍、污渍、皮肤油脂,经常会留下一个指纹印。
指纹识别模块运行时,会从屏幕下方射出光线,透过屏幕上的指纹油渍到达塑料卡片,再反射回接收器。有些智障的接收器会把屏幕上的指纹油渍误当成机主的手指而解锁。
此外,纽约大学的研究人员提出了一种可以生成“万能指纹”的神经网络模型,攻击手机指纹解锁的成功率最高可达 78%。
所以,你觉得指纹解锁还靠谱吗?
这样一想,指纹什么的验证都很不靠谱吧~那岂不是没有靠谱的保护手段!
莫慌!我这里有一个很特别的验证 :
四、图+身份认证
首先,你可能想问什么是图+呢?想知道吗?
不告诉你。
北卡科技的图+技术,指的是将文字、图片或语音信息加密隐藏在图片中。而目前,国内只有北卡科技实现了图像信息隐藏技术跨平台产品化应用。
这个技术的优点是隐秘性好、安全性高。
经过处理的图像外观、尺寸与大小不会改变而且信息经过国密算法SM2加密隐藏到图像中,无法提取与解析内容,抗隐写分析。
那这又与双因子认证有什么关系呢?
通过“图+”技术,管理员可便捷地在一张普通的图片中隐藏系统的配置与白名单用户身份认证信息。
用户使用新设备首次登陆时,需输入账号并导入该图片,完成身份认证,才能进行登陆。
而由于图片表面上与普通的图片一样,可能是风景照,可能是人像,可能是表情包,外人无法看出这张照片的特殊性。
验证图片:
所以,就算你的账号密码被别人知晓,但他无法通过第一次验证,无法登陆你的账号。
因此,咔信身份认证的安全指数是很高的~
可以说是无懈可击~
什么?你问整容后的甄梵仁怎么通过人脸识别?
本博士最后给他支了一招——使用打印出来的照片来解锁!
没错,就这么简单就解决了问题,溜了溜了~~
双因子认证!这4种身份认证方式你都了解吗?相关推荐
- 几种身份认证方式的分析
按身份认证的认证形式来分,目前有:用户名/密码认证.智能卡认证.动态口令认证.USB Key认证.生物特征认证等. 用户名/密码是最简单也是最常用的身份认证方法,是基于"what you k ...
- 时代亿信 认证墙-SID强身份认证产品
1.1 产品简介 SID强身份认证产品作为提供强身份认证的认证中心,集数字证书.动态口令.指纹.短信等强身份认证方式于一身,可以实现对用户身份的安全认证,并可依托数字证书来保证网上信息传送的保密性. ...
- 用php编写一个强迫身份认证,php创建基本身份认证站点的实现方法
这篇文章主要为大家详细介绍了php创建基本身份认证站点的实现方法,具有一定的参考价值,可以用来参考一下. 感兴趣的小伙伴,下面一起跟随512笔记的小玲来看看吧! 默认情况下,大多数web服务器一般被配 ...
- asp.net中常用的几种身份验证方式
前言 在B/S系统开发中,经常需要使用"身份验证".因为web应用程序非常特殊,和传统的C/S程序不同,默认情况下(不采用任何身份验证方式和权限控制手段),当你的程序在互联网/局域 ...
- k8s 手动恢复redis 集群_高工面试之:redis的几种集群方式你都熟悉吗?
Redis三种集群方式:主从复制.哨兵模式和Cluster模式 一.主从复制模式 Redis配置成主从模式,主库(Master)只负责客户端的写数据,从库(Slave)只负责客户端的读数据. 主从数据 ...
- 【认证绕过】NACOS身份认证绕过漏洞分析
前言 工作中遇到一个nacos服务认证绕过的问题,在此总结一下漏洞原因. 一.nacos简介 官方文档描述: Nacos 致力于帮助您发现.配置和管理微服务.Nacos 提供了一组简单易用的特性集,帮 ...
- 【高效运维篇】如何通过双因子认证保证堡垒机安全访问IT资源
在日常使用堡垒机进行IT运维时,用户使用账户密码登录堡垒机后,即可对其具备权限的IT资源进行相应的操作或访问.而用户的堡垒机账户密码一旦被泄露,意味着无关人员可随意访问具备权限的IT资源,企业数据安全 ...
- 基于数字证书的UKEY安全登录 与身份认证技术研究
摘 要 本文在研究身份认证技术.uKey技术及Windows系统登录原理基础上,提出了基于数字证书的uKey身份认证与安全登录方案,设计了自定义登录模块,从而实现了使用uKey进行主机安全登录的功能 ...
- 身份认证技术基础知识
身份认证技术 身份认证技术是指计算机及网络系统确认操作者身份的过程所应用的技术手段. 计算机系统和计算机网络是一个虚拟的数字世界.在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示 ...
最新文章
- Unity创建2D动作RPG游戏 Create Action 2D RPG Game in Unity
- GCB:西农韦革宏团队-土壤多营养级网络的复杂度增强农田系统生物多样性和多功能性的联系...
- mysql数据类型不写(),MYSQL 数据类型
- Exchanger的使用
- 马尔科夫链和马尔科夫链蒙特卡洛方法
- go 怎么等待所有的协程完成_理解真实世界中 Go 的并发 BUG
- Syslog Cisco Incident
- Python datetime timedelta
- 有谁知道高速大数据量无线传输技术
- Python 资源库大全
- php底层深度探索(3) ---Apache启动阶段分析 王泽宾
- 虚拟化arm服务器,服务器虚拟化领域的ARM处理器与RISC技术
- arcmap拓扑错误检查器不亮_ARCGIS拓扑检查步骤与修正拓扑错误技巧
- 2021最新阿里Java面经
- for循环练习题-编写程序,根据输入行数,输出金字塔图案
- logging 详解第三期:Logging 不为人知的二三事
- WDAGUtilityAccount和defaultaccount
- EOS代码架构及分析(二)
- 使用谷歌Chrome浏览器将网页保存为html格式
- 什么是switch语句?