Question

基于纵深防御的思想，假设前面所说的后台地址已经泄露，假设密码被社会工程学等方式窃取到，这种情况下我们就要考虑在登录这一层设置障碍，即使攻击者拿到密码也无法登录，想实现这一效果该怎么做呢，是做信誉体系？自动识别好人和坏人？这种方式很有效果，但是实现起来太庞大，一般的公司没有这样的数据基础去做件事，所以用代码来简单实现最简单的策略如下所示。

1）限制登录 IP。只能固定 IP 访问，或者说公司内网访问，在外网需要访问的时候拨 VPN 即可。

2）双因素认证。限制内网 IP 是相对安全的，但是还不够安全，因为攻击者有很大的可能已经通过其他途径进入到内网，所以就需要用到双因素认证手段，比如手机验证码、动态令牌都是非常有效的方式，我们在渗透测试的时候经常遇到这种情况：拿到密码之后要双因素认证才能登录。