12.9 敏感操作多因素验证
多因素验证在很多操作中都适用,特别是敏感的操作,从业务逻辑上来说,不仅仅是后台的登录、修改配置等操作才算敏感,同样前台用户进行个人操作的时候也一样需要受到保护,阿里云在这方面做得非常好,如图12-13所示。
图 12-13
在阿里云进行诸如修改域名解析、修改服务器密码等操作时都需要验证手机短信,这样即使密码被泄露也无法进行这些敏感操作。
多因素认证从字面意思就可以理解,即添加多种验证方式,敏感操作多次验证权限,验证的方式有如下几种:
1)手机短信验证码。
2)手机语言验证码。
3)手机App动态令牌。
4)邮箱验证码。
5)实体令牌卡。
6)电子图片令牌卡。
7)硬件令牌。
验证方式层出不穷,我们在使用的时候需要根据业务的保密程度来确定使用哪种方式,因为每种方式的用户体验不同,像某银行开发的U盾使用的时候必须要用IE浏览器,然后安装各种驱动,折腾半天还要重启一下,最后发现还不一定能用,这种体验非常糟糕。