关于密码验证的深入分析
让我们谈谈密码,那些让计算机验证你是你所说的人的小秘密代码。没有这些小家伙,任何人都可以走到计算机系统前说:“我是约翰·史密斯!让我进入我的帐户,”然后一台计算机会很乐意接受这已经足够好了,谢天谢地,它不是这样工作的!我们都知道计算机会反过来问你,“好的,John Smith 的密码是什么?” 在给你访问权限之前。
这非常有效,但这种身份验证方法已经存在了很长时间(几千年)。这些身份验证的小令牌已经显示出它们的年龄,并且在 Internet 上表现不佳,在 Internet 上经常发生自动暴力攻击,并且在多个帐户上设置相同密码的人加剧了这个问题。
是时候面对音乐了,密码已经是老生常谈了,长期以来一直被滥用为一种身份验证方法。知道或能够猜到一件可以用计算机验证您身份的东西不足以保护您免受试图对您的东西做坏事的坏人的伤害!
什么是更好的解决方案?
多重身份验证
简单的定义:您需要知道您的密码以及一项或多项其他内容来验证您的真实身份。
别担心,我们已经为您准备好了。您可以启用 Google Authenticator 作为登录 DreamHost 面板的多因素身份验证选项。
匆忙!启用多因素身份验证,所有酷孩子都在这样做,或者启用它是因为您想成为第一个使用最热门的新欺骗身份验证方法的孩子。这是面板的计费 => 安全页面的直接链接,可以在其中打开它。你在等什么?
多年来,我们在我们的面板中提供了一个“接近多因素身份验证”的选项,已经称为“IP 锁定”。它只需要在新的 IP 地址登录到您的面板时进行电子邮件验证,到目前为止这是一个不错的选择,但我们知道我们可以提供更好的服务。Google Authenticator 是第二个多重身份验证选项。
我不会通过跳过有关多因素身份验证的更详细解释来损害您的利益。
这是一个无限制的描述:当您需要使用具有多重身份验证的计算机系统进行身份验证时,您输入您的登录名,计算机将要求您输入密码(您知道的)以及另一个令牌(其他的)比你知道的东西)来验证你是你所说的那个人。这第二个令牌可以是您拥有的东西(例如特殊令牌)或您所在的某个地方(在互联网上,这将是您的 IP 地址。)甚至您是什么(生物识别扫描仪)。我们提供“你拥有的东西”(你的设备运行谷歌身份验证器)或你所在的地方(IP 锁定)。你可以同时打开两者,或者只使用普通的旧密码身份验证。
回收之前提供的示例,让我们向您展示它是如何工作的:
单因素身份验证:
<Computer> “好的,John Smith 的密码是多少?”
<匿名访客>“密码”
<计算机>“欢迎史密斯先生!”
也许 John 应该选择一个不易被猜到的密码?
让我们使用多重身份验证再次重试:
<Computer> “好吧,我从来没有见过你从你的电脑登录。请告诉我当前显示在您的 Google 身份验证器设备上的临时令牌是什么以及您的帐户密码。”
<匿名访客>“呃……密码?”
<计算机>“访问被拒绝”
真正的约翰·史密斯
<Computer> “好吧,我从来没有见过你从你的电脑登录。请告诉我当前显示在您的 Google 身份验证器设备上的临时令牌是什么以及您的帐户密码。”
<John Smith> “当然,是 828277,密码是 password”
<Computer> “欢迎 Smith 先生!”
<John Smith> “嘿,电脑,这有点不方便,你能记住这台电脑实际上是我一段时间吗?”
<计算机>“没问题,史密斯先生,下次您从同一台计算机登录时,我只会问您密码。”
虽然 John Smith 仍然拥有相同的容易猜到的密码(这不是使用可猜到的密码的借口),但 Google 身份验证器步骤使他们免于被泄露。
