一般用户安全
General user security
我只想知道如果您的登录名上有 2FA,是否真的意味着您不必担心有人窃取您的用户名和密码?
我知道如果有人窃取了您的 phone,并且可以访问 Google Authenticator 或 Microsoft Authenticator 等身份验证应用程序,只需进入该应用程序并读取生成的代码,就会出现问题。但是,任何人实际上能够访问您的 phone 并访问这样一个应用程序的几率是多少?
我在我使用的大部分服务中都使用 2FA,因为我觉得那样更安全。但是,如果您的加密系统不是那么好,是否值得在您自己的服务中实施它?如果有人设法闯入我的服务并在每个人都使用 2FA 和唯一密码的假设情况下读取每个人的用户名和密码,这会很重要吗?
一些想法:
- "layers" 越多,安全性就越好。用户名和密码的组合就是这样的一层。 2FA 是另一个。添加 2FA 无疑会提高您的安全性,但您仍应努力对您的用户名和密码保密。 想想如果有人窃取了您的 phone 但无法获取您的密码会怎样。两者都用。
- 相关:登录系统并不是唯一的威胁;关于帐户的信息也是如此:如果用户不希望知道他在您的系统中有一个帐户怎么办?如果有人可以访问您的用户名和密码数据库并且数据被公开,那么全世界都会知道您的用户是谁;也许这对你的情况并不重要,但 it can be in certain other cases,这是一个在任何情况下都要坚持的好原则。因此,尽可能对用户名和密码保密。
- 我知道你已经知道这一点,但你的假设情况只是 - 假设。您永远不应该假设所有用户的密码对于您的服务都是唯一的。有些用户会做傻事。这可能不是你的错,也不是你的责任,但尽你所能帮助他们保持安全仍然被认为是一种好的做法。
- 如果您知道您的加密系统“不太好”,那么您显然应该尝试改进它。
- 2FA 可能并不总是有效,或者并非在所有情况下都适用于所有人。如果它对您的服务不重要,您可以考虑选择退出。对于某些客户来说,选择接受多一点风险可能是值得的,因为登录时 "hassle" 略有减少。对于其他客户来说,这个较小的 "hassle" 可能是为了更好的安全性而付出的微不足道的代价。在任何情况下,您都应该 提供 2FA 作为安全性的可能改进,而不是作为其他领域安全性松懈的借口 。
我只想知道如果您的登录名上有 2FA,是否真的意味着您不必担心有人窃取您的用户名和密码?
我知道如果有人窃取了您的 phone,并且可以访问 Google Authenticator 或 Microsoft Authenticator 等身份验证应用程序,只需进入该应用程序并读取生成的代码,就会出现问题。但是,任何人实际上能够访问您的 phone 并访问这样一个应用程序的几率是多少?
我在我使用的大部分服务中都使用 2FA,因为我觉得那样更安全。但是,如果您的加密系统不是那么好,是否值得在您自己的服务中实施它?如果有人设法闯入我的服务并在每个人都使用 2FA 和唯一密码的假设情况下读取每个人的用户名和密码,这会很重要吗?
一些想法:
- "layers" 越多,安全性就越好。用户名和密码的组合就是这样的一层。 2FA 是另一个。添加 2FA 无疑会提高您的安全性,但您仍应努力对您的用户名和密码保密。 想想如果有人窃取了您的 phone 但无法获取您的密码会怎样。两者都用。
- 相关:登录系统并不是唯一的威胁;关于帐户的信息也是如此:如果用户不希望知道他在您的系统中有一个帐户怎么办?如果有人可以访问您的用户名和密码数据库并且数据被公开,那么全世界都会知道您的用户是谁;也许这对你的情况并不重要,但 it can be in certain other cases,这是一个在任何情况下都要坚持的好原则。因此,尽可能对用户名和密码保密。
- 我知道你已经知道这一点,但你的假设情况只是 - 假设。您永远不应该假设所有用户的密码对于您的服务都是唯一的。有些用户会做傻事。这可能不是你的错,也不是你的责任,但尽你所能帮助他们保持安全仍然被认为是一种好的做法。
- 如果您知道您的加密系统“不太好”,那么您显然应该尝试改进它。
- 2FA 可能并不总是有效,或者并非在所有情况下都适用于所有人。如果它对您的服务不重要,您可以考虑选择退出。对于某些客户来说,选择接受多一点风险可能是值得的,因为登录时 "hassle" 略有减少。对于其他客户来说,这个较小的 "hassle" 可能是为了更好的安全性而付出的微不足道的代价。在任何情况下,您都应该 提供 2FA 作为安全性的可能改进,而不是作为其他领域安全性松懈的借口 。