針對登錄問題時围详,就短信驗證碼的考慮做了點記錄。
Q1:除了登錄名與密碼买羞,為什么要考慮使用短信驗證碼登錄雹食?
本質(zhì)還是提高可用性群叶。
1、用戶不方便使用自己的真正密碼登錄,例如在咖啡館赎离、圖書館或網(wǎng)吧。
2虽画、忘記密碼后重置較為繁瑣荣病,安全級別再強一點的還會遇到不允許跟歷史密碼重復(fù)脖岛。
3颊亮、節(jié)省輸入密碼的工作量轩性,特別是移動設(shè)備上輸入特殊字符械拍,各種大小寫字符組合并不方便。
4卸察、為帳戶安全增加額外驗證坑质。LastPass涡扼,1Password 或 KeePass 這樣的密碼管理軟件各有不足。
5汤善、不是所有用戶都可以使用/愿意使用 Facebook 登錄红淡,但是短信具有普適性降铸。
Q2:手機驗證碼有沒有問題?
僅僅依靠SMS OTP就作為身份驗證桶蝎,雖然方便,但是安全性將面臨很大挑戰(zhàn)雾家,特別是在金融行業(yè)芯咧。
業(yè)務(wù)設(shè)計的環(huán)節(jié),存在一些比較明顯的問題:
1邪铲、手機驗證碼不能定位到人带到。比如你搜索:How to Send and Receive Text Messages without a Phone or SMS揽惹。
2、手機容易被惡意軟件攻擊狭握。著名案例有 ZitMo疯溺、SMS Tracker 等囱嫩。
3、短信通道堵塞接收不到短信挠说,或者是被攔截澡谭。
4、手機不在身邊/無法使用损俭,例如旅行時蛙奖。
5、比如座機或者使用基于Web 的 (VOIP) 電話服務(wù)杆兵,就沒法接收驗證碼雁仲。
Q3:移動端趨勢攒砖?
用生物識別代替PIN、OTP日裙。比如人臉吹艇、指紋受神、聲音與虹膜。
英特爾身份驗證包含了從個人識別碼到藍牙撑碴、地理位置與指紋識別的所有內(nèi)容,直接在硬件中加強了安全強度廉嚼,也可以在移動設(shè)備上應(yīng)用恐似。
具體的案例在案例篇中記錄傍念。
參考閱讀:Intel embeds multi-factor security into enterprise Core, vPro processors
