什么是 2FA?

首先咱们要知道什么是 2FA。

2FA 代表双要素身份验证(Two-Factor Authentication)。它是一种安全措施,用于维护用户的在线账户和信息。传统的身份验证一般只涉及输入用户名和暗码,但这种方法或许存在安全风险,由于暗码或许被猜想、盗取或许破解。

经过运用双要素身份验证,用户需求供给两个不同类型的身份验证要素才干成功登录。这些要素一般分为以下几种类型:

  1. 常识要素:如暗码、PIN码或许答案问题。

  2. 一切权要素:如硬件令牌、手机验证运用程序生成的一次性暗码(OTP)或短信验证码。

  3. 生物特征要素:如指纹辨认、虹膜扫描或面部辨认。

当用户进行登录时,除了输入用户名和暗码之外,还需求供给别的一个要素进行验证。这使得进犯者更难以侵略用户账户,由于他们需求获取并运用第二个要素才干成功登录。

2FA 供给了额定的安全层,帮助用户维护其账号免受歹意活动和未经授权的拜访。

现在,越来越多的在线服务和运用程序支持 2FA,引荐用户启用 2FA 以增强账户安全性。

为什么要运用 2FA?

Github 首席安全官 Mike Hanley 在博客中说到:

2021年11月,一些未启用 2FA 的开发者账户遭到侵略,导致许多 npm 包被侵略者接收,为此 Github 许诺在 npm 账户安全性方面会投入更多的资源。咱们会继续改进 npm 账户安全性,同时也会投入相同程度的努力来维护 Github 开发者的账户。

大多数安全缝隙并非少见的零日进犯的产物,而是来历于许多低成本的进犯手段,如社会工程、凭证偷盗或许走漏,以及为进犯者供给对受害者账户及其一切资源的广泛拜访权限的途径。被侵略的账户可用于盗取私有代码,或许将歹意更改推送到这些代码上。这不只会将与受感染账户相关的个人和安排置于风险之中,并且会让一切运用受影响代码的用户都暴露在风险环境下。因而,这种进犯或许会对更广泛的软件生态系统和供应链下流产生巨大的影响。

这表明关于传统的单要素认证(即运用暗码)来说它更容易遭到暗码走漏、弱暗码进犯、社会工程进犯等方法的威胁。关于一些每周下载次数高达成百上千次的 npm 包来说,它们更容易被黑客团伙进犯投毒,比如装置一些暗码盗取器等。

❓转存失败,主张直接上传图片文件什么是社会工程进犯?

它是指运用心理学和社会工程学原理,经过诈骗、诱导或操纵人员来获取信息或许实施非法行为的进犯手段。这类进犯往往不直接涉及技能上的缝隙,而是针对人类的社会和心理特征进行操作,然后取得所需的信息或许拜访权限。

它的方法大概包括:

  1. 垂钓进犯(Phishing) :经过伪装成合法组织或许个人,发送虚伪的电子邮件、短信或许网站链接,诱导受害人输入个人账户信息、暗码或许灵敏信息。

  2. 预文本信息进犯(Pretexting) :进犯者伪装成他人,经过假造虚伪的理由或许身份来诱使受害者透露信息或许执行特定操作。

  3. 人员招聘或渗透测验:进犯者伪装成潜在雇主或许客户,以获取内部信息或许物理拜访权限。

  4. 垃圾邮件进犯:发送包括歹意软件或许链接的垃圾邮件,经过诱导受害者点击链接或许下载附件,以便进犯者获取系统拜访权限或许盗取信息。

社会工程进犯一般需求进犯者对目标受害者进行深入的调查和分析,以便制定相应的诈骗计划。为了防备社会工程进犯,个人和安排需求加强对安全意识的训练,关于不知道来历的信息和请求,咱们要谨慎对待,维护自己的个人信息。

如何设置 2FA?

咱们这儿介绍一下国内能够运用的方法:运用 TOTP 运用。

那什么是 TOTP 运用呢?

TOTP 运用指的是依据事情的一次性暗码(Time-based One-Time Password)运用,它是一种用于实现双要素认证的安全技能。TOTP 运用一般以移动运用的方法存在,用户在手机上装置相应的身份验证运用程序,如 Google Authenticator、Authy 等。

TOTP 运用的作业原理是,依据当时的时间戳生成一次性暗码,该暗码在必定时间内有效,然后过期。用户在登录时除了输入惯例的用户名和暗码外,还需求供给由 TOTP 运用生成的动态验证码,这样即使黑客取得了用户的账号暗码,也无法直接登录用户的账户。

TOTP 运用依赖于一个共享的密钥(secret key),该密钥由服务供给商在用户启用双要素认证时生成,并经过二维码或许其他方法供给给用户。用户将该密钥输入到 TOTP 运用中后,运用依据当时的时间戳和密钥算法生成一串动态的验证码,用户在登录时需求输入该验证码方可完结登录。

可是在国内由于一些原因,装置不了 Google Authenticator,可是咱们能够装置微软的 Authenticator,不过装置途径是有限制的,关于安卓手机来说,现在只支持四个运用商城:

以 Oppo 的运用商城为例,咱们在 App 中搜索 Authenticator 之后点击进行装置即可。

装置好之后,咱们能够进行 Github 2FA 的认证操作。

  • 首先翻开你的 Github,并进入到设置页面中。

Github 宣告在2023年末前有必要运用两层验证

  • 在左边的菜单中找到 Password and authentication

Github 宣告在2023年末前有必要运用两层验证

  • 在右侧的主内容区找到 Two-factor authentication,没有注册 2FA 的用户会看到以下内容,咱们点击「Enable two-factor authentication」进行注册(假如现已是强制要运用 2FA 了,那会直接看到下图)

Github 宣告在2023年末前有必要运用两层验证

  • 然后会弹出来一个对话框,默认方法是 「Setup authenticator app」也便是运用 TOTP 运用,这儿会供给一个二维码

Github 宣告在2023年末前有必要运用两层验证

  • 此时咱们就能够经过刚刚装置的 app 来扫描这个二维码添加这个 Github 账号,选中「已验证 ID」-「扫码 QR 码」即可进行账户添加(这儿截不了图,大家能够依据描绘来进行操作)。

  • 添加好 Github 账户之后,在 App 的主页就能够看到你 Github 的账户现已被展现出来了,咱们点击这条记载然后就能够看到一个展现一次性暗码的页面,将这个 6 位数验证码输入到浏览器中 「Verify the code from the app」的输入框中之后,Github 会自动进行验证。

  • 完结上述过程之后,Github 会返回给咱们一个 Recovery Codes,这个 Codes 需求咱们点击 「Download」 保存在本地。

Github 宣告在2023年末前有必要运用两层验证

  • 最后点击「I have saved my recovery codes」完结设置

Github 宣告在2023年末前有必要运用两层验证

后续要登录 Github 除了输入暗码之外,还需求经过输入 TOTP 运用供给的 code 来进行登录。

咱们也能够进行修改操作:

Github 宣告在2023年末前有必要运用两层验证

点击 「edit」之后,会重复上述展现二维码的过程,依照之前说的进行操作即可。

假如设置了 2FA,可是在登录时手机 App 被卸载怎么办?

这种场景比较少见,咱们在登录时,假如没有 Authentication code,能够运用保存在本地的 Recovery code 进行验证登录:

Github 宣告在2023年末前有必要运用两层验证

然后将咱们保存在本地的 Recovery code 中的任意一个 code 输入进去即可完结登录。

Github 宣告在2023年末前有必要运用两层验证

原文链接:blog.ihsxu.com/blog/170330…