一般用户安全

Question

我只是想知道，如果有人窃取您的用户名和密码，登录时是否有2FA实际上意味着您不必担心它？

我知道如果有人窃取您的手机有问题，并且可以访问Google身份验证器或Microsoft身份验证器之类的身份验证应用，只需输入应用并阅读生成的代码即可。但是，任何人实际上能够访问您的手机并访问这样的应用程序的几率是多少？

我在使用的大多数服务中使用2FA，因为我觉得这样更安全。但是，如果您的加密系统不是那么好，是否值得在您自己的服务中实施它？如果有人设法闯入我的服务并在假设情况下阅读每个人的用户名和密码，那么每个人都在使用2FA和唯一密码吗？

Answer 1

一些想法：

• 当有更多＆＃34;层时，安全性往往会更好。它的。用户名和密码的组合就是这样一个层。 2FA是另一个。添加2FA无疑会提高您的安全性，但您仍应努力保密您的用户名和密码。 考虑如果有人窃取您的手机但无法获取您的密码会发生什么。同时使用两者。
• 相关：登录系统不是唯一的威胁;有关帐户的信息也是如此：如果用户不希望知道他的系统中有帐户，该怎么办？如果有人可以访问您的用户名和密码数据库并且数据已发布，那么全世界都会知道您的用户是谁;也许这对你的情况并不重要，但it can be in certain other cases，无论如何这是一个很好的原则。因此尽可能保密用户名和密码。
• 我意识到你已经知道这一点，但你的假设情况就是那个 - 假设。您永远不应该假设您的所有用户密码都是您的服务所独有的。有些用户会做蠢事。这可能不是你的错，也不是你的责任，但是尽你所能帮助他们保持安全仍然是一种良好做法。
• 如果您知道您的加密系统是<＃34; 不太好＆＃34;，那么您显然应该尝试改进它。
• 2FA可能并不总是有效，或者在所有情况下都不适合所有人。如果它对您的服务不重要，您可以考虑选择退出。对于一些客户来说，选择接受更多风险可能是值得的，因为他们可以轻微减少＆＃34;麻烦＆＃34;登录时。对于其他人来说，这个未成年人＆＃34;麻烦＆＃34;为了更好的安全性，可能是一个微不足道的代价。在任何情况下，您都应提供2FA作为安全性的可能改进，而不是其他领域的安全性不严理的借口。