Google云平台的用户账户密码设计最佳实践

在选择 两步验证 （也称为双因素授权或仅2FA）方法时，请考虑用户对其账户被盗的实际影响。由于存在多个弱点， NIST 已 弃用 SMS 2FA（短信二次验证），但是，它可能是您的用户可以接受的最安全的选项。启用第三方身份提供商并在其2FA上搭载是一种简单的方法，可以在不花费大量精力的情况下提高安全性。

11、使用户ID不区分大小写

您的用户不在乎，甚至可能不记得用户名的确切情况。用户名应完全不区分大小写。将所有用户名和电子邮件地址全部以小写形式存储并将所有输入转换为小写进行比较之前是非常容易实现的。

越来越多的设备是智能手机，其中大多数手机提供纯文本字段的自动更正和自动大小写。在UI级别阻止此行为可能不是理想的或完全有效。

12、构建安全的身份验证系统

如果您使用的是Firebase Auth等服务，则会自动为您处理许多安全问题。但是，您的服务始终需要正确设计以防止滥用。核心考虑因素包括实施 密码重置 而不是密码检索，详细记录账户的活动，速率限制登录尝试，在多次不成功的登录尝试后锁定账户，以及对无法识别的设备或长时间闲置的账户要求两步身份验证。安全认证系统还有许多方面，因此请参阅以下部分以获取更多信息的链接。

进一步阅读

有许多优秀的资源可用于指导您完成开发，更新或迁移帐户和身份验证管理系统的过程。我推荐以下内容作为起点：

NIST 800-063B 涵盖身份验证和生命周期管理

OWASP不断更新的 密码存储备忘单

OWASP使用 身份验证备忘单 进一步详细 说明

Google的 Firebase身份验证 网站拥有丰富的指南，参考资料和示例代码库

（编辑：厦门网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!