近日,网传学习通密码泄露,超1.7亿条隐私数据被售卖,包含密码!一度冲上微博热搜!

网传学习通1.7亿密码泄露!有什么补救措施?_密码泄露

紧接着,学习通官方回应消息不实!

网传学习通1.7亿密码泄露!有什么补救措施?_短信验证码_02

消息是否属实咱们暂且不论,说个老生常谈的问题:密码泄露!

我们作为网民,我们的衣食住行都依赖于网络,特别是密码,是我们网络空间的钥匙,一旦被盗用,黑客就可以长驱直入,如入无人之境,后果不堪设想!

黑客之所以黑,就是他们无所不用其极,采用各种各样的手段达到想要的目的,所以很难做到不被窃取密码,这个时候就需要换一个防御手段:如果密码已经被窃取,如何防止黑客登录我们的账号?

这时候双因素认证横空出世!

双因素认证就是两种认证因素,密码是一种,动态口令或指纹识别或人脸识别或短信验证码等是第二种,双剑合璧,加强安全!

咱们拿学习通来讲,学习通是主要面向C端用户的互联网产品,用户只需要输入用户名密码就可以登录,这样就会有很大的风险,如果网传信息为真,大量的账号就不再安全,这时候就非常适合增加双因素认证加强安全,方案如下:

因为是C端互联网产品,生物识别类不太适合,短信验证码是最合适的,在用户名、静态密码的基础上,增加短信验证码,做到双因素认证,简单说下实现方法:


原先的架构非常简单:

部署服务器,为用户提供服务即可

网传学习通1.7亿密码泄露!有什么补救措施?_学习通_03


现在需要增加双因素,架构上就会有所改变:

网传学习通1.7亿密码泄露!有什么补救措施?_密码泄露_04

首先增加一台CKEY双因素认证服务器,作为双因素管理平台;

然后增加一个短信网关,发送验证码;

最后需要用户的手机号码,接收验证码;

此时用户登录时,就需要用户名、静态密码、短信验证码进行登录,以此完成安全登录闭环!


短信验证码安全吗?

首先增加短信验证码和不增加短信验证码相比,安全级别上肯定是有非常大的提升,但是短信验证码也存在一定的缺陷:

1、短信验证码受信号干扰严重,有可能无法收到验证码;

2、短信验证码是通过网络传输的,有被拦截的风险;

针对安全性要求非常高的企业,他们会采用另一种方式:动态口令!


动态口令架构又会有所不同:

网传学习通1.7亿密码泄露!有什么补救措施?_短信验证码_05

1、增加一台CKEY双因素认证服务器,作为双因素认证管理平台;

2、为每个用户绑定一个手机APP令牌,实时生成动态口令;

以此实现用户名、静态密码、动态口令登录,此时动态口令的生成和接收是不需要网络传输的,因此也不会受到网络干扰,可以完美规避短信验证码的弊端,只是相对的没有那么的方便。


综合来看:

短信验证码和动态口令都能很好的加强登录安全保护,两者各有利弊:

短信验证码使用非常方便,稳定性和安全性上没那么高,适合安全要求不是太高的C端互联网应用;

动态口令安全性更高,使用上会稍微麻烦一些,适合安全要求高的C端互联网产品和企业级产品;

具体怎么选,根据自身的实际情况而定。