增加双因素认证，不惧密码泄露，更不惧123456

近日Digital Shadows发布一项新研究：有240亿个用户名和密码被公布在暗网上，在短短两年时间内，居然增加了65%，其中9200万个密码使用“123456”，“qwerty”、“password”、“1q2w3e”也非常多，无不令人咋舌！

为什么弱口令“屡禁不止”？

只有一个解释：便于记忆！

我们生活在互联网大环境下，各种各样的软件琳琅满目，全网软件数量少说几百万吧，我们每个人常用的软件怎么着也有几十个，处处有帐密，如果每个软件使用复杂的、不一样的、没有规律的密码，恐怕只适合天才，咱们常人望尘莫及！所以我们不得不设置简单的、有规律的密码，这就存在了安全隐患！

有没有一种方式：既简单又安全？

有需求自然有解决方案，那就是双因素认证！

第一种因素（静态密码）可以设置很简单，第二种因素可以使用动态口令、短信验证码、生物识别，动态口令和短信验证码是随机数，安全级别和实用性上非常高，生物识别安全性更高，实用性上欠缺，所以现在企业广泛使用动态口令或短信验证码做双因素认证！

动态口令和短信验证码孰优孰劣？

先说短信验证码

短信验证码是通过发送验证码到手机的一种有效的验证码系统，各网站通过接口发送请求到接入商的服务器，服务器发送随机数字或字母到手机中，由接入商的服务器统一做验证码的验证。

基础架构

首先增加一台CKEY双因素认证服务器，作为双因素管理平台；

然后增加一个短信网关，发送验证码；

最后需要用户的手机号码，接收验证码；

此时用户登录时，就需要用户名、静态密码、短信验证码进行登录，以此完成安全登录闭环！

短信验证码优势

1、在原有的用户名、静态密码基础上增加双因素认证，安全有保障；

2、通过手机号即可接收验证码，使用方便；

所以优势总结就是：安全又方便！

同样短信验证码也存在一定的缺点

1、短信验证码受信号干扰严重，有可能无法收到验证码；

2、短信验证码是通过网络传输的，有被拦截的风险；

缺点总结就是：稳定性和可靠性欠佳

再来看动态口令

动态口令（Dynamic Password）是根据专门的算法生成一个不可预测的随机数字组合，被广泛运用在网银、网游、、电子商务、企业等应用领域。

基础架构

1、增加一台CKEY双因素认证服务器，作为双因素认证管理平台；

2、为每个用户绑定一个手机APP令牌，实时生成动态口令；

以此实现用户名、静态密码、动态口令登录。

动态口令优势

1、动态口令的生成和接收是独立生成的，不需要网络传输，也不会受到网络干扰；

2、伴随手机随身携带，随用随取；

安全性更高！

缺点的话就是使用上没有短信验证码那么方便！

综合来讲

短信验证码和动态口令各有千秋，如果你的系统想要更安全但安全等级没那么高，就选择短信验证码，如果你的系统安全要求非常高，就选择动态口令，便捷和安全这种选择！