linkedin - 为#LinkedIn 编写多因素身份验证提供程序
问题描述
如果我在#LinkedIn 并转到Account -> Login and Security,则可以选择两步验证。这不包括电子邮件地址和电话号码(后者清楚地标明“……以防您在登录时遇到问题”)。
然而,两步验证除了提供“身份验证器应用”选项外,还提供SMS(电话)身份验证,“...例如Microsoft Authenticator ”。这里有烟;有火吗?
如何编写自己的身份验证器:我假设有一个(REST)API(客户端/服务器,不在乎)?如何让#LinkedIn 调用它(反之亦然)?有没有例子?
一般背景我设想了两种潜在的解决方案:1)桌面应用程序,绑定到特定的桌面计算平台;2)一副扑克牌(说真的,我为此准备了POC)。这不是使用 LinkedIn 登录其他地方,而是在登录 LinkedIn 时提供自定义 MFA。我可能会尝试用 Python 编写它。
请求背景(重要)我向#LinkedIn 支持提出了这个问题,他们把我送到了这里。
安全背景(重要) SMS 不安全。有一些劫持 IMEI 的方法。存在技术问题(错误)。还有其他问题,例如记录在案的电信人员贿赂案件。
政治背景(重要) #LinkedIn 定期向我询问 MFA(多因素身份验证)的电话号码,但他们有一个电子邮件地址;他们可以使用它。有记录的社交网络过去使用电话号码之类的东西,出于安全目的提供,以扩展其社交图谱(在法律意义上,未经授权的转换)。就像证书颁发机构一样,没有令人信服的技术理由不能通过开放标准提供 MFA(在 CA、DNSSEC 和 DANE 作为替代方案的情况下)。
解决方案
推荐阅读
- reactjs - 用 Luxon 进行单元测试:我如何模拟 .setZone('local')
- python - 如何使用所述垃圾列表从文件名中取出所有垃圾?
- tfs - 下载除 TFS 中的一个以外的所有变更集
- javascript - c3.js destroy() -- 未捕获的类型错误:无法读取 null 的属性“删除”
- c# - 如何清除嵌套在 TabControl、TabPage 和 2 个面板中的文本框?
- python - 如果我们在命令行上从分配的应用程序开始,ArgumentParser 就不能正常工作
- django - 如何将 Django 语句添加到 Javascript
- python - 使用 tcp 重传的可靠 udp
- ios - 截取被 UIImageView 对象覆盖的区域
- c++ - 在方法内部调用方法会导致开销吗?