经过一番研究,我已经实现了一个可靠的“忘记密码?” 机制,现在我想实现 2FA。
但是现在我在想,如果您可以通过“忘记密码?”来恢复您的帐户,那么 2FA(密码 + 电子邮件或短信)有什么意义?机制,只需要 1 个因素(仅电子邮件)?
两者兼有是否正常,或者,正如我现在所想的那样,这有点毫无意义?
问问题
116 次
1 回答
1
2 因素身份验证背后的想法是,人们经常为所有帐户使用一个电子邮件地址,并另外选择用于所有帐户的弱密码。
因此,如果其他人在一个系统上可以访问该密码,则此人将可以访问所有其他帐户。如果用户为他的电子邮件选择了一个与所有其他人不同的密码,情况会好一些。但是仍然存在一个问题。如果有人能够猜出该密码,那么用户直到为时已晚才会认出它。
但是,如果手机丢失或被盗,用户将在短时间内请求锁定SIM 卡的可能性很高。
因此,您将为用户帐户的不常见操作或可能导致失去对帐户的访问权限的操作发送确认代码。
您可以选择何时发送验证码。(始终在登录时,仅在更改帐户数据时,例如密码、电子邮件、新手机号码或会为用户产生成本的操作)
于 2013-11-14T18:53:15.073 回答