密碼要求字符是什么意思檢查密碼要求是什么意思( 二 )

2026-05-08 生活百科

你知道的信息：額外的個人認證碼（PIN）、密保問題你擁有的物體：信用卡（購物）、手機號（短信）、密碼器（銀行）你個人的特征：人臉識別、聲紋、指紋較為普遍使用的雙因子認證方式主要是「認證碼應用」和「短信驗證碼」這兩種。它們都屬于第二類「你擁有的物體」。也就是說，借助你擁有的應用或手機號，你可以更好地證明你擁有訪問賬戶的權限。
認證碼應用目前 1Password 同時提供了密碼管理和雙因子認證，而 Lastpass 則需要配合單獨的雙因子認證應用來管理。此外，也有一些獨立的雙因子應用，如 Authy、Google 身份驗證器以及 Microsoft Authenticator 。
這些應用提供的雙因子認證是基于 TOTP（基于時間的一次性密碼算法）來實現的，已經成為 RFC6238 標準。它的運作過程可以分為「配置」和「使用」兩部分來解釋。
【密碼要求字符是什么意思檢查密碼要求是什么意思】配置賬戶時：
服務器生成隨機的密鑰，如 4M7IFFT3Y45BLUXTY7WY7DJ3UA通過彼此之間相對可信的通道進行之一次通信，現在一般用二維碼，這個二維碼能夠傳遞服務名稱、賬戶名稱、隨機密鑰客戶端根據收到的信息，根據隨機密鑰和當前的時間，根據特定算法計算出一個 6 位的認證碼用戶根據客戶端上的顯示，將 6 位認證碼輸入給服務器，服務器同時使用相同算法計算出認證碼，核對是否一致使用雙因子認證時：
客戶端根據之前記錄的隨機密鑰和當前的時間，計算出 6 位認證碼服務器同時計算出認證碼用戶根據客戶端的顯示，將認證碼輸入給服務器，服務器核對

密碼要求字符是什么意思檢查密碼要求是什么意思

文章插圖
Google 和 Microsoft 的認證碼應用
由此可見，這種認證是基于：
事先協商的密鑰核驗時的時間因此，這種認證碼是會隨著時間變化的，并且對每個賬戶都是不同的。而計算認證碼的算法包含了哈希，因此從認證碼逆推出原始密鑰幾乎是不可能的。
值得指出的是， 1Password 同時兼顧了密碼管理器和認證碼應用，還可以收納證件、會員信息、信用卡、服務器等內容，所以很容易造成單點故障的困局。
短信驗證碼國內使用認證碼應用的比較少，一方面因為需要手動配置，對用戶有一定技術要求，另一方面普遍使用的手機短信驗證碼由于手機號碼實名制，顯得更加符合國情，也更加便于管理。
然而針對短信驗證碼的攻擊非常頻繁，去年八月甚至出現了使用黑科技強行攔截短信驗證碼并盜取支付寶的驚人案例，具體操作手法眾說紛紜，但是短信作為一種保護信息安全的雙因子認證顯然顯得不大可靠了。
誠如這份檢查列表提供的其中一個資源鏈接中所說：
" *** S has turned that 'something you have' into 'something they sent you,'" says Zdziarski. "If that transaction is happening, it can be intercepted. And that means you're potentially at some level of risk."
大概翻譯過來是：短信已經從「你擁有的物體」轉變成了「他們發送給你的東西」，這樣就可能被竊聽，也就有了潛在的危險。
由于 2G 的安全性遠低于 4G 通信，因此也有竊聽者強行令手機切換到 2G 通信，從而更加容易地竊取短信。此外，現在的技術除了輕而易舉地給手機發送偽造的短信，也可以騙取短信發送方的信任，而讓發送方把本應發給用戶的短信發送到你這邊來——竊聽、攔截、篡改，一應俱全。
鑒于當前國內移動應用的素質良莠不齊，許多應用請求了短信權限，而后有意無意地把數據上傳到服務器中。上傳的過程如果不加密，那么很可能還會引入其他竊聽者。
公開宣稱需要短信權限甚至是經用戶同意上傳短信數據的應用有很多，比如 iOS 和幾乎所有 Android 手機系統都會提供的云同步服務；也有很多應用聲稱只是為了「便于用戶登錄時自動輸入驗證碼」而索取短信權限。是否要給予短信權限，在于每個人自己的權衡。
除了軟件層面，由于把安全因子捆綁在手機這個每時每刻都在使用的設備上，要是手機被偷或不小心遺留在了公共場所，哪怕只是被人看了一眼屏幕，都可能導致驗證碼的泄露。所幸幾乎所有手機系統都提供了「在鎖屏界面不顯示短信內容」的選項，我強烈建議把它打開，以免手機在沒有解鎖時泄露重要的短信信息。

推薦閱讀

上一篇：合同簽訂后定金罰則還適用嗎？

下一篇：男人喜歡女人送剃須刀嗎女人送男人剃須刀代表什么意思