tag
phishing defense
该标签下有 2 篇文章
2026-07-02
什么是一次性密码(OTP)— TOTP/HOTP/SMS 的区别与局限
一次性密码(OTP)是一次使用后即失效的短命一次性验证码。类型有:身份验证器应用的 TOTP(基于时间)、HOTP(基于计数器)、以及 SMS-OTP。它对泄露和重用的密码很强,常作为 2FA 中「你拥有的东西」这一因素。但它有局限:中间人(AiTM)钓鱼能通过假网站中继 OTP 并照样进入。真正的抗钓鱼来自绑定域名的通行密钥。OTP 是「远胜于没有,但不是终点」。
2026-07-02
什么是双因素认证(2FA)— 与两步验证的区别、各方式的强弱
双因素认证(2FA)是在「你知道的东西(密码)」之外,叠加「你拥有的东西・你本身(验证码、密钥、生物识别)」这类不同类别的证明,从而强化本人验证的机制。严格来说它与常被混淆的两步验证(确认两次,未必是两个类别)并不相同。强度取决于方式:SMS/邮件 < 身份验证器应用(TOTP)< 通行密钥/物理密钥(FIDO2)。本站的立场:先在所有账户上开启某种 2FA,再把重要账户迁移到无法对钓鱼网站出示的方式。