我们一直在考虑如何最好地实现双因素身份验证，以便更好地保护我们客户的帐户。大约6个月前，当我的账户成为黑客攻击的目标时，一个良好的账户安全的重要性变得很明显。然而，正如我的黑客案件所表明的那样，单靠双因素身份验证并不是一个完整的答案。在CloudFlare，我们考虑了许多实现双因素身份验证的不同方法。我们考虑自己开发，并使用Twilio或其他类似的服务，通过短信向客户的手机发送认证码。该策略的问题在于，它通过移动运营商的不太安全的网络传递本应安全的认证代码。而且，如果说从我自己的黑客案件中可以吸取教训的话，那就是移动提供商的安全性并不总是最强大的。我们还考虑了一些基于fob的双因素系统。不幸的是，这些通常是非常昂贵的，因此我们不能提供给所有的客户。我们还考虑了像Google的Authenticator这样的解决方案。这是一个经过深思熟虑的系统，我们对谷歌团队非常尊重，但我们对于将另一个身份钥匙交给一家主要业务是搜索和广告的公司感到紧张。更不用说谷歌自己实现的双因素认证系统中的一个缺陷导致了我的黑客攻击，更别提有点品味不好了。TOTP:开放式身份验证一些双因素认证方案（包括Google）使用的底层算法是开放的，称为基于时间的一次性密码算法（TOTP）。TOTP是由互联网工程任务组（IETF）根据RFC 6238指定的。TOTP的机制相对容易理解。首先，向每个TOTP用户发出一个随机密钥。服务器和客户端都有这个随机密钥的副本。TOTP假设服务器和客户端都可以同步它们的时钟。当用户登录时，客户机将当前时间戳取为前30秒的时间间隔。然后，客户机组合密钥和时间戳。然后，这个组合的键和时间戳值通过SHA哈希算法运行。与其他加密哈希一样，SHA是一种单向算法。输出不能用于派生输入。SHA算法的输出成为身份验证码，用户可以在登录过程中将其发布到服务器。由于服务器对用户具有相同的随机密钥，并且由于客户端和服务器的时钟是同步的，所以服务器也可以使用SHA算法计算身份验证码。如果服务器从用户处接收到的身份验证码与服务器自身派生的身份验证码匹配，则可以确认用户的身份。这个方案的强大之处在于，如果攻击者窃取了授权码，那么在30秒内，它将毫无用处。攻击者通常没有足够的时间来访问该帐户。这对于网络钓鱼攻击尤其有效，因为攻击者会说服用户在虚假网站上公开其登录凭据。认证如果双因素身份验证的核心算法是公共的，那么问题就归结到谁拥有最好的实现。我们研究了几种实现，并对一家名为Authy的公司印象特别深刻。Authy团队创建了一个漂亮、简单、优雅的应用程序来实现TOTP。他们的设想不是创建另一个需要安装的应用程序，而是创建一个可以管理所有TOTP双因素身份验证令牌的位置。

在过去的三个月里，我们在所有的管理系统中都在内部使用Authy应用程序。Authy团队与我们合作，改进他们的应用程序，使其尽可能简单和优雅。两个月后，我们决定对我们的客户进行云身份验证测试，并以此作为我们所有客户的一个开放的身份验证因素。如果您感兴趣，您可以阅读有关如何在您的帐户上实现它的简单步骤。但是。。。我已经在我的手机上安装了谷歌验证器！我们继续得到的最大问题是，为什么我们不只是使用谷歌验证器，因为很多人已经在他们的手机上安装了它。除了上面提到的高层关注之外，还有一些关于安全性和易用性的技术问题，我们认为这使Authy成为一个更好的选择。首先，使用googleauthenticator，如果你丢失了你的应用程序，你就无法撤销应用程序的令牌。这可能是googleauthenticator应用程序最大的安全缺陷。虽然可以通过密码保护你的手机来缓解，但更好的解决方案是允许应用程序被取消授权。Authy修复了这个问题，并允许您在丢失手机时撤销应用程序的令牌。这是谷歌的一个大赢家。第二，当你无法访问网络时，谷歌的验证器可能会不同步，让你处于无法访问你的帐户的令人沮丧的境地。因为所有的TOTP系统都依赖于手机上的时钟来匹配服务器上的时钟，如果没有一个相当精确的匹配，那么就可能出现问题。我自己在旅行时也经历过这种情况，这可能会让人沮丧。Authy在他们的应用程序中构建了大量的逻辑，以便在你没有网络接入的情况下保持时钟同步。第三，如果你升级你的手机，使用谷歌的验证器，你必须从头开始重新建立你所有的双因素账户。有了Authy，您的所有帐户都会同步，所以当您升级和重新安装Authy时，一切都将按照您期望的方式进行设置。还有一些经过深思熟虑的细节。Authy使用SHA-2和256位密钥，而Google的Authenticator使用SHA-1和128位密钥，这对这个应用来说可能不是什么大问题，但是通常更长的密钥和更安全的哈希协议更好。当你把你的手机从睡眠中唤醒时，Authy总是会在接下来的30秒内给出一个好的代码——这是一个不错的触摸，消除了谷歌认证器的烦恼，如果你没有足够的时间输入代码，就必须等待计时器过期。而且它的界面比谷歌的更干净，使用起来也更好。但我们明白了。人们不喜欢在手机上安装另一个应用程序。好消息是Authy团队也得到了。他们还将在未来几周内为他们的系统添加对googleauthenticator令牌的支持。这样你就可以使用Authy的优秀用户界面通过一个应用程序访问你的Google代码。