增加双因素认证，不惧密码泄露，更不惧123456

近日Digital
Shadows发布一项新研究：有240亿个用户名和密码被公布在暗网上，在短短两年时间内，居然增加了65%，其中9200万个密码使用“123456”，“qwerty”、“password”、“1q2w3e”也非常多，无不令人咋舌！

为什么弱口令“屡禁不止”？

只有一个解释： ** 便于记忆！**

我们生活在互联网大环境下，各种各样的软件琳琅满目，全网软件数量少说几百万吧，我们每个人常用的软件怎么着也有几十个，处处有帐密，如果每个软件使用复杂的、不一样的、没有规律的密码，恐怕只适合天才，咱们常人望尘莫及！所以我们不得不设置简单的、有规律的密码，这就存在了安全隐患！

有没有一种方式：既简单又安全？

有需求自然有解决方案，那就是 ** 双因素认证！**

第一种因素（静态密码）可以设置很简单，第二种因素可以使用动态口令、短信验证码、生物识别，动态口令和短信验证码是随机数，安全级别和实用性上非常高，生物识别安全性更高，实用性上欠缺，所以现在企业广泛使用动态口令或短信验证码做双因素认证！

动态口令和短信验证码孰优孰劣？

先说短信验证码

短信验证码是通过发送验证码到手机的一种有效的验证码系统，各网站通过接口发送请求到接入商的服务器，服务器发送随机数字或字母到手机中，由接入商的服务器统一做验证码的验证。

基础架构

首先增加一台CKEY双因素认证服务器，作为双因素管理平台；

然后增加一个短信网关，发送验证码；

最后需要用户的手机号码，接收验证码；

此时用户登录时，就需要 ** 用户名、静态密码、短信验证码** 进行登录，以此完成安全登录闭环！

短信验证码优势

1、在原有的用户名、静态密码基础上增加双因素认证，安全有保障；

2、通过手机号即可接收验证码，使用方便；

所以优势总结就是：安全又方便！

同样短信验证码也存在一定的缺点

1、短信验证码受信号干扰严重，有可能无法收到验证码；

2、短信验证码是通过网络传输的，有被拦截的风险；

缺点总结就是：稳定性和可靠性欠佳

再来看动态口令

动态口令（Dynamic Password）是根据专门的算法生成一个不可预测的随机数字组合，被广泛运用在网银、网游、电信运营商、电子商务、企业等应用领域。

基础架构

1、增加一台CKEY双因素认证服务器，作为双因素认证管理平台；

2、为每个用户绑定一个手机APP令牌，实时生成动态口令；

以此实现 ** 用户名、静态密码、动态口令** 登录。

动态口令优势

1、动态口令的生成和接收是独立生成的，不需要网络传输，也不会受到网络干扰；

2、伴随手机随身携带，随用随取；

安全性更高！

缺点的话就是使用上没有短信验证码那么方便！

综合来讲

短信验证码和动态口令各有千秋，如果你的系统想要更安全但安全等级没那么高，就选择短信验证码，如果你的系统安全要求非常高，就选择动态口令，便捷和安全这种选择！

短信验证码和动态口令各有千秋，如果你的系统想要更安全但安全等级没那么高，就选择短信验证码，如果你的系统安全要求非常高，就选择动态口令，便捷和安全这种选择！

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览，小伙伴们记得点个收藏！

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IyO2Yd45-1691581533360)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一：基础入门

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-slguzyp4-1691581533360)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二：技术进阶（到了这一步你才算入门）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4em19Tf4-1691581533361)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BiQsT8nc-1691581533362)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四：蓝队课程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ocorTnog-1691581533362)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御，即更容易被大家理解的网络安全工程师。

攻防兼备，年薪收入可以达到40w+

阶段五：面试指南&阶段六：升级内容

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

同学们可以扫描下方二维码获取哦！