两步验证

也称为双因素身份验证。

随着越来越多的网站寻求更好的安全登录方式，两步身份验证在整个 Internet 上出现，这是用户在网上所做的任何事情中最薄弱的部分。

什么是两步验证

密码是在网络上登录的事实上的标准，但它们相对容易破解。即使您设置了良好的密码并定期更改它们，它们也需要存储在您登录的任何地方，并且服务器漏洞可能会泄露它们。可以通过三种方式来识别一个人，他们是什么，他们拥有什么，以及他们知道什么。

使用密码登录是单步验证。它只依赖于你所知道的东西。根据定义，两步验证是一种系统，您可以使用三个可能因素中的两个来证明您的身份，而不仅仅是一个。然而，在实践中，当前的两步实施仍然依赖于你知道的密码，但使用你的手机或其他设备对你拥有的东西进行身份验证。

三个可能的因素

可以通过三种可能的方式来识别用户。

你是什​​么

每个用户都有许多独特的属性，可以用来识别他们。最受欢迎的是指纹，但视网膜、声音、DNA 或任何其他特定于个人的东西都可以使用。这称为生物识别信息，因为这些信息都属于一个人的生物学。

生物识别因素很有趣，因为它们不容易伪造，用户永远不会丢失或忘记它们。然而，生物特征认证很棘手，因为丢失的指纹永远无法被替换。如果黑客能够访问指纹数据库，用户就无法重置指纹或获得一组新指纹。

2013 年，Apple 发布了 TouchID，允许用户使用指纹解锁 iPhone。这项技术很有趣，因为指纹存储在手机本地，而不是在云中，黑客更容易窃取指纹。这种方法仍然需要权衡取舍，但它是迄今为止消费者对生物识别身份验证最广泛的使用。

你有的东西

也称为拥有因素，用户可以通过他们携带的设备来识别。传统上，想要启用两步身份验证的公司会向用户分发安全的钥匙串。钥匙扣每 30 秒显示一个新数字，每次用户登录时都需要输入该数字和密码。

现代两步身份验证更频繁地依赖于用户的智能手机，而不是新硬件。一种常见的模型是使用 SMS 来提供简单的第二个因素。当用户输入他们的密码时，他们会收到一条带有唯一代码的短信。通过在密码后输入该代码，他们可以证明他们也有自己的手机。不幸的是，SMS 不是安全的通信渠道，因此开发了智能手机应用程序和插件来创建该安全渠道。

你知道的事

最熟悉的身份验证形式是知识因素或密码。自芝麻开门以来，密码一直是匿名身份验证的标准。为了让知识因素发挥作用，双方都需要知道密码，但其他方不能找到或猜到它。

第一个挑战是安全地与受信任方交换密码。在 Web 上，当您注册一个新站点时，您的密码需要发送到该站点的服务器，并且可能会在此过程中被拦截（这就是为什么您在注册或登录时应始终检查 SSL — HTTPS 的原因）。

一旦收到密码，就必须保密。用户不应将其写下来或在其他任何地方使用，并且该站点需要小心保护其数据库以确保黑客无法访问密码。

最后，需要验证密码。当用户访问该站点时，他们需要能够提供密码并根据存储的副本对其进行验证。这种交换也可以被拦截（因此应该始终通过 SSL — HTTPS完成）并使用户面临另一种风险。

好处

有很多不同的地方可以提高网站的安全性，但 WordPress 安全团队曾表示，“你在网上所做的任何事情的安全性中最薄弱的环节就是你的密码，”所以把精力放在加强这一点上是有意义的您网站的方面。

缺点

顾名思义，两步身份验证是在本已漫长而痛苦的过程中增加一个步骤。虽然当今大多数非常高安全性的登录都受到两步身份验证的保护，但大多数消费者应用程序如果提供的话，也几乎不会将其作为一个选项提供。这是因为如果服务比较困难，用户就不太可能注册和登录。

两步验证还可以防止合法登录。如果用户将手机忘在家里并且启用了两步验证，那么他们将无法访问他们的帐户。这是智能手机可用于两步身份验证的主要原因之一——用户携带手机的可能性比携带其他任何东西的可能性更大。

两步验证插件

您可以在 WordPress.org 插件存储库中搜索可用的两步验证插件。以下是一些最流行的入门工具（按字母顺序排列）：

• 朵朵
• 谷歌验证器
• 卢布隆
• 双因素
• 词围栏

有关的

• 蛮力攻击

变更日志

• 2022-10-25：两步验证的原始内容。