用户名密码登录的方式越来越不安全,密码泄露、撞库攻击防不胜防。多因素认证能给账号安全加一道锁。
常见的认证因素有三类:你知道的(密码)、你拥有的(手机、邮箱)、你是谁(指纹、人脸)。用两种以上就是多因素认证。
短信验证码是常见的第二因素。用户登录时除了密码,还要输入手机收到的验证码。短信验证码也有被劫持的风险,正在被其他方式取代。
邮箱验证码安全性更好。攻击者很难同时拿到账号密码和邮箱密码,但验证体验稍差。
TOTP动态口令是更安全的方案。Google Authenticator等应用生成30秒一轮的动态口令,与服务器时间同步验证。
一次性密码要设置有效期。验证码或链接最好在几分钟内有效,过期自动失效。