不考虑中间人攻击 /钓鱼问题。
各网站通常采取先验证口令,验证成功再弹出 TOTP 验证 6 位数,感觉有点不合理:
也见过些采取口令和 TOTP 同时要求输入的站点,没有绑定 TOTP 就留空,绑定了就必须口令和 TOTP 同时对,但也会提醒口令不对或者 TOTP 不对。
我的想法是:
 |
1
ysc3839 Aug 4, 2021 via Android
暴力破解的问题在 TOTP 之前就有成熟的解决方案了,比如验证码。
|
 |
2
Overfill3641 OP @ysc3839 #1 没用啊,我就用过本地识别验证码的软件,太复杂验证码比如橘子 14 点.....不知道开发者还好吗.....😂😂(关键是淘宝几分钟解决)
|
 |
3
soulzz Aug 4, 2021
totp 解决了生成验证码的麻烦
|
 |
4
jim9606 Aug 4, 2021
只是一种猜测。
国外大厂商例如 MS 和 Google 是因为 TOTP 只是其中一种可选的 2FA 手段,其他 2FA 手段有电子邮箱、手机验证码、硬件密钥等。其中电子邮箱、手机验证码会暴露部分隐私信息,所以需要先行验证 PIN 才能暴露这部分信息。 国内的话也会在输密码之后进行一个黑箱的风控检查,用以决定是否需要进行额外身份验证。另外不知道是不是觉得用户教育不足,对 TOTP 的信任度还不如常用设备验证。 |
 |
5
eason1874 Aug 4, 2021
爆破发生在密码泄露之前,而 TOTP 是在密码泄露之后的兜底措施,都不是一回事。
不管有没有 2FA,不管 2FA 放在第一步还是第二步,防爆破都是必须而且先于 2FA 的。 |
|
6
Overfill3641 OP |
|
7
Overfill3641 OP @eason1874 #5 而且我想了下,这也不冲突不是?只是换了个顺序,它就不能起到原来的作用了?
|
|
9
Overfill3641 OP @Xusually #8 当时是数字(类似银行那种硬件。特容易摔坏,跟个玻璃似的),现在不清楚了,当然不是一个产品两次,确实是概率问题。
|
|
10
eason1874 Aug 4, 2021
@v2tudnew 你说 “如果口令不对就不会要求验证 TOTP,那么爆破不也可以正常进行”
TOTP 本身就不是解决爆破问题的,你用爆破来质疑它,所以我告诉你这是错的。你把它放到登录页面也无助于防爆破,只会影响用户交互。 你说猜中盛大动态口令两次,他们也是 6 位的,这概率跟中双色球头奖没多大区别了,我更倾向是你记错了或者是盛大的密码产品有问题。 |
 |
11
Xusually Aug 4, 2021 via iPhone
@v2tudnew 如果是以前银行那种密保卡,刮刮卡似的,几行几列一共就几十个选择的还可以理解,六位数字的那种还能猜中我真的服气的~
|
 |
12
maskerTUI Aug 4, 2021
你这样搞,业务部门会不会跳起来
|
|
13
Overfill3641 OP |
|
14
eason1874 Aug 4, 2021
@v2tudnew 所以说你还是没懂,这么说吧。
同时输入密码和 TOTP 进行同时验证,其一错误会提示的,这是双重密码。 先验证密码,密码对了才验证 TOTP 的,这是两步验证。 多数网站的 TOTP 不是密码,是两步验证的第二步的密保工具之一,比密码等级更高。 先验证密码,才验证密保,这是规范。可以把这两个步骤放在一个表单提交,但后台验证逻辑并不改变什么,还是先密码再密保,因为改了就不是两步验证了。所以说改变的只有用户交互,有些密保工具必须先验证密码才能暴露,比如手机号、邮箱。 TOTP 不解决爆破问题,行为风控跟密码强度、密保工具是不同的问题。 |
 |
15
dototototo Aug 4, 2021 via Android
我大概懂楼主你想说的了,其实防不防爆破不是关键,你真正想表达的是要同时对用户名,密码和 TOTP 三者进行验证,以增加爆破难度吧?
|
 |
16
crab Aug 8, 2021
网银有的登陆就是一起判断的,但有的会考虑用户体验告知是密码错还是 TOTP 。
|
Select Language