-
保证登录安全-07-2FA 双因素身份认证
双重身份验证定义 双重身份验证 (2FA) 是一种安全流程,可以提高一个人身份的真实性。该流程会请求用户在访问应用程序或系统之前提供两个不同的认证因素,而不是简单地提供他们的用户名和密码。 面对网络安全环境中日益复杂的网络攻击,2FA 是组织保护其数据和用户的重要安全工具。各种规模的企业都必须随着攻击的复杂性不断进步,不断改进他们的防御措施,以阻止恶意攻击者对其网络和系统的侵害。 要回...2022-02-18 13:01:55 | Safe
-
保证登录安全-06-生物解锁 指纹/面部/声音
生物解锁 生物解锁一般而言比较方便。 但是存在一个很大的问题,大就是一旦被盗取信息,则永远无法修改。 并算不上特别安全,可以作为一个辅助的安全认证方式。 小结 每一家公司都有保护用户隐私安全的义务,只可惜现实中很多用户的隐私安全依然无法保证。 对于一个国家,需要推行相应的法律合规。 对于一家公司,需要架构,安全部门,产研测的共同努力。 对于一位用户,我们也要有保护自己信息安全...2022-02-18 13:01:55 | Safe
-
保证登录安全-05-风控规则
必须性 比如银行卡密码,移动手机的开机密码。 因为位数比较少,所以肯定需要添加对应的次数限制。 惩罚 一般账户登录,会限制连续错误 3 次之后,禁止登录。 或者登录方式升级,比如图片验证码+短信验证码等等。 如果继续错误,则会冻结账户,避免账户收到暴力攻击。 恶意账户 如果惩罚只是封禁被登录的账户,显然这是有问题的。 我们发现一个 ip 多次调用登录接口,很可能这个 ip ...2022-02-18 13:01:55 | Safe
-
保证登录安全-03-动态验证码(短信/邮箱) dynamic code
动态验证码 在登陆过程中,动态验证码也可以作为一种安全的验证方式。 一般更加常见的场景是: (1)注册邮箱/手机号验真 (2)找回密码/修改密码 安全验证 (3)验证码的快捷登录 原理 每次服务端生成一个 code,然后存储到服务器,比如 redis。 将 code 通过邮件/短信的方式发送给用户。 用户将收到的信息,对比验证。 为了保证安全性,code 被验证一次立刻失...2022-02-18 13:01:55 | Safe
-
保证登录安全-03-图片验证码与短信验证码
图片验证码 作用 当一个操作,涉及到用户隐私安全,或者代价比较高的时候。需要考虑到结合图片验证码。 比如登录接口,如果没有图片验证码。 那么,可能会被恶意用户暴力破解,造成服务器压力较大,或者用户安全隐患。 实现方式 安全性的基础 安全的基础,是因为图片识别的成本较高。 而生成图片的难度不算太高。 但是这一切都有一个很大的假设,那就是图片识别的成本较高,机器无法暴力破解。 ...2022-02-18 13:01:55 | Safe
-
保证登录安全,用户弱口令检测 weak password
弱口令 是什么 弱口令一般指安全性比较低的密码。 比如 123456 或者 iloveyou 之类的。 危害 很容易被字典暴力破解。 如何避免 让用户设置密码是,最少为 6 位。 密码的复杂度 不要限制一堆大小写,之类的。 需要进行平衡,如果有一对大小写,避免有子母/数字会导致密码非常复杂。 用户会经常忘记密码。 密码的安全性 密码的复杂度越高,一般安全性也就越高。...2022-02-18 13:01:55 | Safe
-
互联网公司如何保证用户私人信息安全?数据的加密和脱敏
海绵宝宝的烦恼 海绵宝宝非常喜欢网上购物,这让他感觉到被资本腐朽的快乐。 但是有一件事他一直觉得很麻烦,快速上的收件单写满了他的个人信息,撕起来还很麻烦。 快递单号:202202181111 收件人姓名:海绵宝宝 收件人手机:138 8888 8888 收件人地址:太平洋比基尼海滩比奇堡镇贝壳街124号的波萝屋 备注:暗号是天王盖地虎 你有没有遇到过和海绵宝宝一样的烦恼呢?又是...2022-02-18 13:01:55 | Safe
-
java 如何判断字符串是否为邮箱?email 邮箱正则表达式怎么写?怎么样可以实现最高性能的邮箱匹配?
背景 希望判断一个字符串是否为邮箱。 实际验证一下 1. 简单的 详细解释一下这个邮箱正则:^[a-zA-Z0-9_-]+@[a-zA-Z0-9_-]+(\.[a-zA-Z0-9_-]+)+$ chat: 这个正则表达式用于验证电子邮件地址的基本格式。下面是对该正则表达式的详细解释: ^: 表示匹配字符串的开始。 [a-zA-Z0-9_-]+: 匹配邮...2022-02-18 13:01:55 | Safe
Echo Blog
江湖无名 安心练剑