我正在考虑在我的应用程序中添加另一层安全性。 双因素身份验证(2FA)似乎是我想要使用的东西。
我想知道什么决定一个好的2FA?你会推荐哪些?我目前不在Devise,所以任何独立的第三方/宝石都会有所帮助。
答案 0 :(得分:1)
什么决定一个好的2FA方法?我说的是覆盖范围(可以使用它的用户数),成本和额外的安全性好处。
在安全性方面,U2F是2FA的最佳类型,因为它可以防止网络钓鱼以及MITM,尽管您的用户需要购买(廉价)令牌。目前仅适用于Chrome。
最便宜的是Google身份验证器风格的TOTP,这是免费的,不会产生任何短信费用。您的用户需要智能手机。
最高的覆盖范围是短信,几乎所有用户都有,但您可能需要支付费用才能发送短信,而您的用户可能需要付费才能接收短信。