date
type
password
slug
tags
summary
category
status
前段时间,各路自媒体不断炒作「境外补税」的话题,催生出一个新型盗取投资账户的套路。
有必要聊聊关于「双因素认证」
双因素/多因素认证
双因素认证(Two-Factor Authentication,简称2FA)是一种通过结合两种不同类型的身份验证因素来确认用户身份的网络安全机制,其核心目标是提升账户访问的安全性,降低传统单一密码认证的风险。
现在很多 App / 服务都已经有了双因素/多因素认证,所谓的双因素/多因素,这个「因素」就是独立的验证因素,常见的有以下这些:
- 知识因素(Something you know):如密码、PIN码;
- 所有物因素(Something you have):如手机短信验证码、硬件令牌(U盾)、移动应用动态码(如Google Authenticator);
- 生物特征因素(Something you are):如指纹、面部识别、虹膜扫描
这里的密码、指纹这些都很好理解。比较特别的是动态验证码这一类,生成动态验证码的技术有很多:
- 时间同步型(TOTP):基于时间的一次性密码算法,通过密钥与当前时间戳生成动态码,每30秒或60秒刷新一次。例如,Google Authenticator和银行动态令牌均采用此技术。
- 事件同步型(HOTP):基于计数器的一次性密码算法,每次验证后计数器递增,生成新密码。
- 随机参数结合:通过时间、事件和密钥三变量的组合,确保每次生成的动态密码不可预测,防止重放攻击
最常见的是 时间同步型(TOTP) ,Google Authenticator、微软的认证器,都是使用这个技术。这里不研究复杂的技术实现,简单描述一下工作原理,看完你就能明白为什么这些密码验证器是通用的:
- 绑定账户的时候,服务端会生成一个随机密钥,同时存在服务器和你的认证App中(Google、微软这些认证都是通过扫描一个二维码进行绑定,这个二维码里就是这个随机密钥)
- 密钥 App会使用当前时间的值,和上述的密钥一起,通过一个哈希算法(行业通用,统一的哈希算法),算出一个6位/8位数字,算法会把当前时间拉宽到30秒宽度的时间窗口,因此算出的密钥有效期有 30 秒。
- 认证时候,你把 App 生成的数字提交给服务器,因为服务器也知道当前时间和第一步的随机密钥,所以也可以算出6位/8位数字,如何和你提交的数字一致,则通过验证。
券商的双因素认证
大部分中资券商比较喜欢短信/人脸做多因素认证,部分外资券商比如盈透,则也实现了 TOTP 验证方式。
盈透证券实现了多种方式的多因素认证,主要有:
- IB Key,即集成在 IBKR App 中的认证模块,可实现人脸识别、挑战码生成等功能。
- TOTP 验证器,即,Google Authenticator、Microsoft Authenticator、1Password、腾讯身份验证器等
- 电子密保卡 DSC+(需100万美金以上才可开启)
- 短信(临时备用验证手段)
默认盈透开户流程只开启了 IB Key,可以登陆网页端再绑定 TOTP 验证器,开启后,每次登陆可选择使用 IB Key 还是 TOTP 验证。
路径:网页端 ➡️ 设置 ➡️ 安全 ➡️ 安全登录系统
使用验证 App 扫描二维码或者输入密钥文本绑定。
TOTP 验证 App 推荐
我推荐使用 Google 或者 Microsoft 的,第一梯队大厂出品,稳定性和安全性都有保障。
Google 家的支持 Google 账户同步云端。微软家的支持微软账户同步和 iCloud 同步。
当然,如果你有使用 1Password 之类的密码管理工具,这类 App 也自带了 TOTP 验证器。
甚至,微信搜索「腾讯身份验证器」,也可以找到腾讯提供的 TOTP 验证小程序。
一挪迈的总结
我个人还是比较喜欢 TOTP 验证的,一直使用 Google 家的。前几年 Google 终于想起来给它加上了云端同步,可以算是非常好用了。
当然,如果你网络环境不足以使用 Google 家的,微软也不错。
很多海外的网站到 +86 的短信通道都不太通畅,比如 Amazon、GitHub,绑定一个额外的 TOTP 形式验证,就解决了问题。
如果你的账户还没有开启任何双因素验证,赶紧开起来吧。
- 作者:一挪迈
- 链接:https://innomad.io/about-2fa
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
