linkedin - 为#LinkedIn 编写多因素身份验证提供程序

问题描述

如果我在#LinkedIn 并转到Account -> Login and Security，则可以选择两步验证。这不包括电子邮件地址和电话号码（后者清楚地标明“……以防您在登录时遇到问题”）。

然而，两步验证除了提供“身份验证器应用”选项外，还提供SMS（电话）身份验证，“...例如Microsoft Authenticator ”。这里有烟；有火吗？

如何编写自己的身份验证器：我假设有一个（REST）API（客户端/服务器，不在乎）？如何让#LinkedIn 调用它（反之亦然）？有没有例子？

一般背景我设想了两种潜在的解决方案：1）桌面应用程序，绑定到特定的桌面计算平台；2）一副扑克牌（说真的，我为此准备了POC）。这不是使用 LinkedIn 登录其他地方，而是在登录 LinkedIn 时提供自定义 MFA。我可能会尝试用 Python 编写它。

请求背景（重要）我向#LinkedIn 支持提出了这个问题，他们把我送到了这里。

安全背景（重要） SMS 不安全。有一些劫持 IMEI 的方法。存在技术问题（错误）。还有其他问题，例如记录在案的电信人员贿赂案件。

政治背景（重要） #LinkedIn 定期向我询问 MFA（多因素身份验证）的电话号码，但他们有一个电子邮件地址；他们可以使用它。有记录的社交网络过去使用电话号码之类的东西，出于安全目的提供，以扩展其社交图谱（在法律意义上，未经授权的转换）。就像证书颁发机构一样，没有令人信服的技术理由不能通过开放标准提供 MFA（在 CA、DNSSEC 和 DANE 作为替代方案的情况下）。

标签： linkedinmulti-factor-authentication