前言
我们往往会在不同的网站上使用相同的密码,这样一旦一个网站账户的密码泄露,就会危及到其他使用相同密码的账户的安全。没错, 就是撞库行为, 往往你的站点的安全机制没有问题,但是架不住你的用户使用的密码跟其他被脱库的站点使用的密码一致(现在免费的社工库很多,随便写个简单的暴力碰撞程序(记得挂上代理
),就可以试出一堆可以正常使用的用户名和密码), 导致很容易通过撞库的行为从而知道这个用户在你站点的用户名和密码。 为了解决这个问题,一些网站在登录时要求除了输入账户密码之外,还需要输入另一个一次性密码。
而这个输入的一次性密码,其实就是我们所说的两步验证,这不是什么新奇的技术,国内都使用了N多年了,比如说银行用的动态令牌
再说一个大家比较有情怀的东西,就是早期网易的将军令(爷春回) 也是用的这个技术:
虽然不是什么新技术,不过早期因为手机的不普及,更多的是用硬件的方式来实现 (这玩意儿一旦没有电,就必须重新换一个,因为他没办法联网同步时间,不过这个耗电量极低,一个可以用好几年)。 但是随着手机的普及,以及大家的安全意识的提升。 越来越多的站点都用软件的方式来实现(比如 Evernote, Google, 以及我所在团队的站点),而且成本很低。