百度云_简历模板百度云资源_企业级

企业应用 虚拟云 浏览

小编:在2016年Facebook的F8开发者大会上,发布了一个新的无密码登录解决方案,名为Account Kit。Account Kit旨在为那些不想使用社交登录(如Facebook)或无密码登录的用户提供一种替代登录工具。

在2016年Facebook的F8开发者大会上,发布了一个新的无密码登录解决方案,名为Account Kit。Account Kit旨在为那些不想使用社交登录(如Facebook)或无密码登录的用户提供一种替代登录工具。用户可以选择电子邮件或手机号码作为他们的"身份",网件云存储,一次性代码通过电子邮件或短信息发送到他们的移动设备上,然后就可以访问该帐户了。

我最初认为这是Facebook篡夺GSMA解决方案mobile Connect的一种方式,它是Facebook一键登录的另一种选择。但经过进一步思考,事实并非如此,正如GSMA网站所指出的:"Mobile Connect是一种安全的通用登录解决方案。只需将用户与手机进行匹配,mobile Connect就可以让他们快速登录网站和应用程序,而无需记住密码和用户名。"因此,这听起来很像表面上的Facebook帐户工具包。

让我们再深入一点。首先,最重要的是,如果没有明确的权限,Mobile Connect不会与企业/站点(又称"服务提供商")共享任何信息。账户工具包中没有此类保证。事实上,服务提供商(例如,使用账户工具包的网站或应用程序)可以完全访问最终用户提供的电子邮件地址或电话号码以及Facebook生成的账户ID(不会与Facebook社交账户ID重叠)。总之,这肯定不是匿名登录。虽然用户不必拥有Facebook社交帐户(比如常见的"一键式Facebook登录"按钮所需的帐户),但目前尚不清楚Facebook将如何使用获取所有这些没有相关Facebook帐户的电话号码和电子邮件帐户。

现在应该注意的是,account Kit最多可免费使用每月10万条确认短信;然而,无论怎样,如果大多数网站/应用程序获得任何显著的效果,它们都将很快超过这个数字。而且,用户必须不断地重新提供他们的电话号码/电子邮件,并在每次登录时收到代码。在初始注册之后,这不是后续登录的一键登录(与Facebook登录、Mobile Connect和其他一键登录不同)。最初的一些媒体将账户工具包与Twitter的数字进行了比较——这是一个类似的解决方案;然而,Digits还提供了一些更高的安全性选项,例如第二步验证码等。

Facebook帐户工具包可以被描述为双因素身份验证的第二部分,没有第一个因素-你知道的东西,服务器上云,只有你知道-密码。这不是安全登录。我有点担心人们用方便换安全。想象一下,云服务器什么,一部没有密码锁定的手机上有许多应用程序,这些应用程序中的账户都是使用账户工具包设置的,如果没有安全保护的移动设备被盗,这些账户中的信息或与这些账户相关的信息都将是公开的。如果应用程序/网站提供商打算提供这种服务,他们也很容易受到攻击。帐户工具包充其量是一种利用移动设备的单因素身份验证。在当今的隐私和安全环境中,云服务器登录,我很惊讶这个解决方案是如此脆弱,因为它比用户id和密码更不安全。仅仅因为这两个无密码登录解决方案都通过短信发送一次性代码(真正的2FA解决方案的一个非常有效的侧通道),并不能使它们成为一个完整的双因素身份验证和安全登录解决方案。

也就是说,这些漏洞并不局限于帐户工具包。如前所述,Twitter数字非常相似;但是,如果一个应用程序/网站没有实施额外的安全措施,它也有同样的问题。如今,如果任何网站或应用程序需要在出售物品的地方创建帐户,这意味着该帐户应该被严格锁定——保护可能包含金融工具的帐户,以便购买以及用户的私人信息。这些免密码、单因素登录解决方案很方便,但它们缺乏显著的安全性,阿里云大淘客,最终会损害用户和实现它的业务。

当前网址:http://www.vmchk.com/share/2021/0723/95895.html

 
你可能喜欢的: