从我的博客后台得知,每天有各种广告机器在试图破解我的后台密码,企图控制我的网站来散播大量的广告。 尽管我已经使用了非常的复杂的密码,完全是随机生成。但若能对博客后台启用两步验证,并且使用 fido U2F 的硬件密钥,那再民用范围内,安全应该可以彻底得到保障了。 我手头这个fido key 已经用了快一年时间,主要是用于Google 的账户登录。 现在可以在wordpress 的插件中心安装这个叫做” Two-Factor”的插件,这个据说在 wordpress 4.5 里面集成进来,这样的话,可以说是对fido的一个巨大支持。 当然,支持fido 的网站并不多,除了Google 就是Dropbox。
之后,在用户管理里面,可以针对每一个用户设置是否启用。
若收到这样的提醒”Two Factor Authentication not activated, you must specify authcode to ensure it is properly set up. Please re-scan the QR code and enter the code provided by your application.”,可以把Time Based One-Time Password 启用,使用Google Authenticator 来作为备选方案。
然后我插入了我的 FIDO 的USB Key. 登陆成功了。 最后,我要说的是,一定得启用TLS 加密,https 访问保证通信内容不被窃听,否则这些额外的安全措施并不能带来真正的安全。 (责任编辑:最模板) |