惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Security Archives - TechRepublic
Security Archives - TechRepublic
C
CERT Recently Published Vulnerability Notes
Cisco Talos Blog
Cisco Talos Blog
Security Latest
Security Latest
S
Securelist
C
CXSECURITY Database RSS Feed - CXSecurity.com
MongoDB | Blog
MongoDB | Blog
罗磊的独立博客
有赞技术团队
有赞技术团队
Last Week in AI
Last Week in AI
L
LINUX DO - 最新话题
美团技术团队
Hacker News - Newest:
Hacker News - Newest: "LLM"
博客园 - 司徒正美
云风的 BLOG
云风的 BLOG
PCI Perspectives
PCI Perspectives
C
Cisco Blogs
G
Google Developers Blog
S
Security @ Cisco Blogs
Google DeepMind News
Google DeepMind News
Jina AI
Jina AI
www.infosecurity-magazine.com
www.infosecurity-magazine.com
O
OpenAI News
Attack and Defense Labs
Attack and Defense Labs
The GitHub Blog
The GitHub Blog
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
The Cloudflare Blog
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
S
Schneier on Security
Y
Y Combinator Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
S
Secure Thoughts
博客园 - Franky
雷峰网
雷峰网
N
News and Events Feed by Topic
B
Blog
J
Java Code Geeks
Project Zero
Project Zero
人人都是产品经理
人人都是产品经理
W
WeLiveSecurity
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Webroot Blog
Webroot Blog
S
Security Affairs
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
宝玉的分享
宝玉的分享
P
Privacy International News Feed
Forbes - Security
Forbes - Security
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
H
Hackread – Cybersecurity News, Data Breaches, AI and More
Hacker News: Ask HN
Hacker News: Ask HN

人人都是产品经理

为什么你的产品找不到差异化?90%的失败都卡在第一步上(下) – 人人都是产品经理, 3年从30万到1300万用户、获2200万美元融资,这个AI教育产品用“抽卡”破解了获客难题 – 人人都是产品经理, 园区招商系统怎么做才能真正帮到去化?我加了这一个功能,推广链接转发400次阅读过万 – 人人都是产品经理, AI大事件:OpenAI发完网络安全模型又搞药物研发,小鹏汽车要抓”DeepSeek时刻” – 人人都是产品经理, 电商不是卖货,是一场更残酷的产品经理实战 – 人人都是产品经理, 没想到,活动营销又回来了! – 人人都是产品经理, 为何All-in海外KOC:一场关于AI时代窗口期的豪赌 – 人人都是产品经理, 重新理解企业的内部协作 – 人人都是产品经理, 苹果的 AI 战略到底是什么? – 人人都是产品经理, 医疗智能体·第2讲——合规护城河:等保、PIPL与HIPAA的架构实战 – 人人都是产品经理, 向量知识库五步法:从“答非所问”到“精准回复” – 人人都是产品经理, 鸿蒙PC三方库构建总指挥HPKBUILD(sha)库为例 – 人人都是产品经理, 何时该用LLM?AI产品经理的LLM设计指南 – 人人都是产品经理, 医疗信息领域的需求方、决策方、准入方以及关注点(二) – 人人都是产品经理, 即梦涨价:一场被误读的「傲慢」 – 人人都是产品经理, 面试AI PM必答题:Hermes和OpenClaw的区别,如何讲清楚业务价值 – 人人都是产品经理, AI的下一张船票:世界模型——AI产品经理必须理解的技术拐点 – 人人都是产品经理, 小红书做GEO,怎么让AI信你?记住这 3 个重要信息 – 人人都是产品经理, 5 家印度 AI 初创公司,看看印度 AI 再做什么 – 人人都是产品经理, AI项目跨团队协作:产品技术业务如何不打架 – 人人都是产品经理, Agentic Workflow(智能体工作流):让AI从”答案生成器”变成”数字员工” – 人人都是产品经理, lycium_plusplus 项目全景解读:OpenHarmony 三方库构建的“大管家” – 人人都是产品经理, 从爆单救火到前置履约:两套预采策略,把生鲜大促履约效率拉满 – 人人都是产品经理, 什么时候该补货?我用一轮数据做了一个决定 – 人人都是产品经理, 从“机械兜底”到“动态分流”:AI客服重复进线治理的4大底层逻辑 – 人人都是产品经理, 抖音拼效率,红书拼洞察 – 人人都是产品经理, 全民狂欢与退潮——为什么龙虾这波热潮冷却得如此之快? – 人人都是产品经理, Stripe押注!MPP重塑全球支付 – 人人都是产品经理, 小红书GEO:AI引用你的内容,不是因为你对,而是因为你看起来可信 – 人人都是产品经理, 前百度副总裁押注办公Agent,日韩付费爆发,Manus迎来强劲对手 – 人人都是产品经理, 企事业单位数字化的业务供需本质 – 人人都是产品经理, 医疗智能体·第1讲——医疗信息化重构:从“辅助软件”到“自主智能体”的范式转移 – 人人都是产品经理, 粉丝量就是空气!!! – 人人都是产品经理, 用户说“薯片碎了”,机器回“要买吗?”:意图识别的翻车与破局 – 人人都是产品经理, RAG召回准确率从75到90 我做对了这三件事 – 人人都是产品经理, AI大事件:Anthropic改收费、OpenAI发安全版、手术机器人纳入医保、阿里发布”秒悟” – 人人都是产品经理, Chrome 推出 Skills 新功能,Agent 重塑上网方式 – 人人都是产品经理, GitHub前创始人拿了a16z的1700万美元,做Agent时代的Git – 人人都是产品经理 拷贝或克隆其他 Flutter OH 项目到本地后无法运行 – 人人都是产品经理, 优惠券设计:优惠券创建 – 人人都是产品经理, 不用死磕文档!AI 助手 1 小时搞定飞书 CLI 安装 + 配置 + 知识库 – 人人都是产品经理, 用小龙虾做竞品分析报告:从2天到20分钟,我是怎么做到的 – 人人都是产品经理 用小龙虾做市场分析报告:搞懂这3个公式,市场规模不再靠猜 – 人人都是产品经理, 你早就在做 Harness 工程,只是不知道它叫这个名字 – 人人都是产品经理, Think Long就够?你可能想多了! – 人人都是产品经理, 货代SRM实战:供应商准入怎么做,才能让资源池不是通讯录而是可交付网络? – 人人都是产品经理, 如何做好用户调研?详解基本技巧 – 人人都是产品经理, 木鸟、途家、美团对打,平台春天行动开“卷” – 人人都是产品经理, 入职才发现公司不靠谱?小红书从业者求职避坑指南 – 人人都是产品经理, 美国 AI 三巨头联手封堵,中国 AI 突围之路在何方 – 人人都是产品经理, 小红书,放在需求对面的镜子 – 人人都是产品经理, AI 会带来大规模失业吗? – 人人都是产品经理, 从出单到补货前,我第一次犹豫:该不该放大? – 人人都是产品经理, Flutter 三方库鸿蒙化适配:5 种高效检查方式,快速判断是否需要适配 – 人人都是产品经理, 从做产品进阶拿结果:医美机构产品经理转岗科室运营经理 – 人人都是产品经理, 阿里HappyHorse,一场关于“Token经济”的阳谋 – 人人都是产品经理, To B AI:客户留存落地的观察与思考 – 人人都是产品经理, AI产品的“生命线”——数据采集、标注、清洗的产品化设计 – 人人都是产品经理, 谈谈AI Agent(二):当“孩子”能自己“体验世界”时,你该学什么? – 人人都是产品经理, UI/UX设计师的3层能力进阶,前两层让你活下来,第三层…才是真正的分水岭 – 人人都是产品经理, 2分钟 → 30秒,效率提升75%:B端产品经理如何用「规则枷锁」驯服AI幻觉? – 人人都是产品经理, 还没来得及学OpenClaw,来了个更猛的:Hermes Agent – 人人都是产品经理, AI日报:宇树机器人跑出10m/s刷新世界纪录 – 人人都是产品经理, 一文说透基金互金如何用情绪价值引导用户决策做转化 – 人人都是产品经理, 当浏览器开始替你”看”网页:AI 浏览器正在亲手拆掉它脚下的那张网 – 人人都是产品经理, 0代码,一天时间我Vibe Coding了个网站 – 人人都是产品经理, Hermes 和 OpenClaw 之争,Agent 的能力应该“装上去”还是“长出来”? – 人人都是产品经理 视频生成的“桌子”,字节Seedance 2掀完,阿里快乐马掀 – 人人都是产品经理, 从听不懂到完全信任:我的 Codex 深度产品体验 – 人人都是产品经理, 当虚拟偶像有了北京户口,与真人偶像还有什么区别? – 人人都是产品经理, 会说,远远比会做更重要 —— 对 SBTI 爆火现象的五层观察 – 人人都是产品经理, AI产品经理必看:当“搭环境”比“选模型”更重要,你的认知还在2024年吗? – 人人都是产品经理, 2026年AI产品商业化核心逻辑:从功能demo到规模化营收的3个必破卡点 – 人人都是产品经理, 京东围绕供应链,卷起裤腿下场的那些事儿 – 人人都是产品经理, SBTI一夜刷屏:它赢在了“太会说人话” – 人人都是产品经理, 折扣零售的真相:不是便宜,而是价值感! – 人人都是产品经理, 和甲方吵了一架,最后加钱做了——我学到的ToB产品经理生存法则 – 人人都是产品经理, 和几位小红书操盘手聊了8小时,干货全在这 – 人人都是产品经理, 智谱GLM-5.1登场,开源模型首超Opus4.6!!! – 人人都是产品经理 Anthropic收入凭什么反超OpenAI,终于有人把这事说清楚了 – 人人都是产品经理, 史上最有故事感的技术报告——Claude最强模型Mythos 7个极其精彩的细节 – 人人都是产品经理, 模型不是壁垒,Harness 也不是 – 人人都是产品经理, 抖音本地生活业务思考21 – 人人都是产品经理, Superpowers:145k Star的AI编码框架,到底是什么来头? Superpowers:145k Star的AI编码框架,到底是什么来头? – 人人都是产品经理, OpenAI 的路走错了,Anthropic Harness 解法启示:模型需要实践专科生 – 人人都是产品经理, 画原型图的前一步:设计站点地图 – 人人都是产品经理, 给 DeepSeek 的最后一封催更信 – 人人都是产品经理, 手把手教你用 Claude Code 搭建 AI 营销团队:5 个 Agent、12 项技能,独立完成研究、写作、设计全流程 – 人人都是产品经理, 你以为大模型在学语言?不,它在重新发明语言学 – 人人都是产品经理 所谓Skill,不过是AI时代的工业垃圾 – 人人都是产品经理, 聊一聊内容传播的几个方法 – 人人都是产品经理, 当平台开始吃掉生态:从 OpenClaw 被封杀,读懂 Anthropic 的这盘棋 – 人人都是产品经理, 你装了 10 个 AI 插件,Obsidian 还是一个文件夹 – 人人都是产品经理 关于AI智能体架构演进的系统性思考:从单体试水到多体协同的重构 – 人人都是产品经理, 当“人”变成Skill,我们又该何去何从? – 人人都是产品经理 Mythos 事件:前沿 AI 治理的意外实验 – 人人都是产品经理, 货代CRM:信用与风险管理怎么做,才能把坏账风险拦在放货之前? – 人人都是产品经理, 从HR收集自拍照到员工自助录入——我见证了园区人脸识别从”不可用”到”真好用”的全过程 – 人人都是产品经理 千问闯关AI混沌期:阿里画靶,吴嘉张弓,马云射箭? – 人人都是产品经理,
多因素身份验证(MFA)强化帐户安全性
张楚 · 2023-05-19 · via 人人都是产品经理

MFA 涉及人们生活的方方面面,验证的方式也是多种多样。本篇文章作者将从 MFA 常用的六种常用方式分析其中的优劣,提供应对措施,希望能对大家有所帮助。

一、什么是多因素身份验证 (MFA)?

MFA是一种身份验证方法,它为传统的基于密码的身份验证过程增加了一层额外的保护。MFA要求用户提供至少两个身份验证因素,以证明其身份并获得对系统或应用程序的访问权限。

二、MFA中常用的因素包括

1. 知识因素

知识因素是只有用户自己知道的信息,例如用户名、密码、短信验证码、电子邮件验证码、安全问题等。

2. 拥有因素

拥有因素是只有用户拥有的实体物体,例如安装了身份验证应用程序的移动设备等。

3. 固有因素

固有因素是用户所独有的物理特征,例如一个人的指纹、面部特征等。

4. 行为因素

行为因素是基于用户的行为模式验证其身份,例如用户通常登录的位置、IP地址、时间、设备等。

5. 认知因素

认知因素是基于用户的认知能力验证其身份,例如滑动拼合拼图、正确识别扭曲的字母或数字、音频识别等。

三、各因素优劣分析

1. 短信验证码

  • 受到SIM卡交换攻击,攻击者首先获取有关用户的个人信息,例如他们的姓名、电话号码、帐户详细信息,然后联系受害者的移动网络提供商,声称丢失或损坏了他们的SIM卡,攻击者提供用户的个人信息作为身份证明,并要求将用户的电话号码转移到受攻击者控制的新SIM卡上,一旦控制了用户的电话号码,他们就可以接收短信验证码并获得对用户帐户的未授权访问。
  • 受到短信钓鱼攻击,攻击者发送一条看似来自可信来源的欺诈消息,该消息提示用户单击链接或提供个人信息请求,例如登录凭据或验证码。如果用户上当受骗并提供请求的信息,攻击者就会捕获这些信息,然后使用它来获得对用户帐户的未授权访问。
  • 验证短信需要移动网络连接,如果用户所在的区域移动网络覆盖较差或完全没有覆盖,他们可能延迟或无法接收验证短信,导致他们无法登录或高效登录。

2. 电子邮件验证码

  • 如果用户使用邮箱帐户注册平台帐户,并为两个帐户设置相同的密码,攻击者破解邮箱帐户密码就可以获得邮箱验证码并使用它来获得对平台帐户的未授权访问。
  • 受到网络钓鱼攻击,攻击者发送一条看似来自可信来源的欺诈性电子邮件,以诱骗收件人提供个人敏感信息,例如登录凭据或验证码。如果用户上当受骗并提供请求的信息,攻击者就会捕获这些信息,然后使用它来获得对用户帐户的未授权访问。
  • 验证步骤繁琐,用户需要在不同的应用程序(例如,邮箱应用和用户试图访问的应用)或设备之间切换完成验证过程。
  • 电子邮件的发送和接收可能会延迟或最终进入垃圾邮件箱。

3. 安全问题

  • 缺乏保密性,个人信息经常通过各种在线平台、社交媒体或数据泄露而被共享或暴露,这使得攻击者很容易收集个人信息绕过安全问题并获得对用户帐户的未授权访问。
  • 问题数量有限,用户只能从平台预先提供的有限的问题池中进行选择,可能很难选择对他们来说真正独特且难忘的问题。此外,有限数量的安全问题也可以减少攻击者需要猜测的问题池。

4. 生物识别验证

  • 指纹、面部特征等生物特征在本质上对个人来说是独一无二的,很难复制或伪造它们。
  • 用户可以简单的使用生物识别特征来验证自己,节省时间且消除了手动输入有误的可能性。

5. 身份验证应用

以谷歌验证器为例:

  • 谷歌验证器离线工作,不依赖网络连接来生成身份验证代码,在网络连接受限的情况下非常有用。
  • 谷歌验证器离线工作,身份验证代码在用户设备上本地生成,不会通过互联网传输,避免了身份验证过程中身份验证代码被拦截或泄露的风险。
  • 如果安装了谷歌验证器的用户移动设备在没有备份QR码或备份代码的情况下丢失或遭破坏,可能会影响用户访问受谷歌身份验证器保护的账户。

6. 图像识别、音频识别

  • 图像识别、音频识别等认知因素对某些有认知障碍或残疾的用户来说可能具有挑战性,可能会使他们难以访问自己的帐户。

综上,虽然多因素身份验证可以通过密码之外的其它验证因素来显著提高安全性,但它并非牢不可破,并且仍然容易受到某些类型的攻击。因此,采取额外的预防措施来增强帐户安全性至关重要。

四、作为用户,建议采取的预防措施

1. 预防网络钓鱼

以下是网络钓鱼消息的一些常见特征,可以帮助区分:

  • 冒充可信来源:网络钓鱼邮件通常包含被冒充组织的官方标识、颜色和其他品牌元素。通过复制可信源的视觉标识,攻击者试图使消息看起来真实,并欺骗用户相信它来自合法实体,但是,仔细检查可能会发现发件人号码或电子邮件地址略有不同。
  • 语法或拼写错误:许多网络钓鱼消息包含语法错误、拼写错误。因为网络钓鱼通常是大规模进行,攻击者可能不会投入太多时间或精力来校对消息,且一些网络钓鱼使用自动化工具来生成和分发网络钓鱼邮件,这些工具没有语法和拼写检查检查。但合法的组织通常有专业的撰稿人来确保他们的信息没有这样的错误。
  • 紧迫性:钓鱼消息通常会营造一种紧迫感,迫使收件人立即采取行动。它们可能会声称收件人的帐户存在紧急问题,或者需要立即验证他们的信息以防止出现某种形式的负面后果,又或者声称收件人赢得了奖品,逾期不予兑换。

建议以下预防措施:

  • 警惕链接和附件:避免点击链接或下载可疑邮件的附件。这些可能会导致虚假网站或恶意软件安装危及你的帐户安全。
  • 验证发件人:仔细检查消息中发件人的电话号码或姓名,确保其与合法实体的官方联系信息相符。
  • 保持谨慎和怀疑:在收到未经请求的消息时要保持警惕,尤其是那些要求提供个人信息或立即采取行动的消息。

2. 预防SIM卡交换攻击

  • 谨慎对待个人信息:避免在网上透露个人信息,尤其是在社交平台上。攻击者可以收集有关你的个人详细信息,例如你的姓名、电话号码、生日、地址等,他们可能会在SIM交换攻击期间使用这些信息冒充你。

3. 使用身份验证器进行多因素身份验证时,牢记以下几个注意事项

  • 使用单独的设备进行备份:考虑使用单独的设备存储每个平台提供备份QR码或备份代码。这可以在主要设备丢失、损坏或不可用时提供帮助。
  • 保护你的设备:由于身份验证器依赖于你的移动设备,因此确保你的设备安全非常重要。设置强密码或使用生物认证(指纹或面部识别)来防止未经授权访问你的设备。
  • 确保从可信来源下载身份验证器:下载身份验证器最安全的方法是从官方应用商店下载,例如适用于Android的 Google Play Store或 iOS的App Store。这些平台采取了严格的安全措施来检测和删除恶意或假冒应用程序。

五、作为平台,尤其是金融和政府机构,强烈建议使用多因素身份验证

通过实施多因素身份验证,金融和政府机构可以增强用户帐户的安全性、保护敏感数据、在平台和用户之间建立信任。

六、总结

多因素身份验证已成为必不可少的安全措施。多因素身份验证通过要求用户提供多种因素来验证其身份来增加额外的安全层。这种身份验证方法显着降低了未经授权访问的风险,特别是在金融和政府等行业。通过实施多因素身份验证,平台可以增强用户帐户的安全性、减少财务损失和欺诈、建立和用户之间的信任。作为用户,尽可能采用 多因素身份验证以及额外的安全预防措施,保护我们的帐户和敏感信息免受网络犯罪分子的侵害。通过多因素身份验证我们可以创建一个更安全的网络环境环境并保护我们的个人信息。

感谢阅读,以上就是本次分享的全部内容,希望你能从这篇文章中有所收获,后续将会持续更新。

本文由@张楚 原创发布于人人都是产品经理,未经许可,禁止转载。

题图来自 Unsplash,基于 CC0 协议。

该文观点仅代表作者本人,人人都是产品经理平台仅提供信息存储空间服务。