像GitHub这样的在线服务有数多模式。Sudo模式意味着,执行微妙操作的用户只需要每隔几分钟就对其进行身份验证,而不是再次验证,尽管他们已经登录了。
因此,GitHub使用用户的密码。我想知道这是否是最好的办法。为什么我应该使用密码,而不是像Google身份验证器这样的身份验证者提供的一次性密码?那不是更安全吗?特别是,大多数浏览器保存密码并在密码字段中提供密码,而一次密码不能按设计提供?
发布于 2018-01-15 15:06:18
第二个因素本身并不比密码更安全。在许多情况下(如RSA SecurID令牌),第二个因素易受物理盗窃的影响,而记忆密码则不是。
请求这两种身份验证因素将更加安全。我想github选择不这么做是为了方便--毕竟,这是对已经成功通过这两个因素进行身份验证的用户进行重新身份验证。您可能会认为活动会话已经是一种次要的身份验证形式。
https://security.stackexchange.com/questions/177633
复制相似问题