什么是双因⼦认证(2FA)
双因⼦验证(2FA),有时⼜被称作两步验证或者双因素验证,是⼀种安全验证过程。在这⼀验证过程中,需要⽤户提供两种不同的来证明⾃⼰的⾝份,从⽽起到更好地保护⽤户证书和⽤户可访问的资源。双因⼦验证⽐提供了⼀种更⾼级别的保证。在单因⼦验证中,⽤户只需提供⼀种认证因⼦ —— ⼀般情况下是⼀个密码或者⼝令。双因⼦验证⽅式不仅需要⽤户提供⼀个密码,⽽且需要⼀个第⼆个因⼦,通常情况下这⼀因⼦会是⼀个或者⽣物识别因⼦像指纹和⾯部扫描。
因为仅仅知道受害⼈的密码不⾜以通过认证检查,双因⼦认证通过增加攻击者访问⽤户设备和在线账户的难度的⽅式达到了为⾝份验证过程添加额外安全层的⽬的。双因⼦验证长久以来被⽤以控制敏感系统和数据的访问,在线服务商也越来越多地使⽤双因⼦验证来保护他们⽤户的数据,以防因为⿊客盗取密码数据库或者利⽤获取⽤户密码,导致⽤户证书被使⽤。
⾝份认证的因素是什么?
⼈们在不同的情况下可以使⽤多种⽅法进⾏⾝份认证。⽬前,⼤多数⾝份认证⽅法依赖于像传统密码那样的认知因素,⽽双因素⾝份认证会添加持有物因素或特征因素。
认证因素按计算采⽤的近似顺序列举如下:
1. 指⽤户所知道的事物,⽐如密码、PIN 码或其它类型的共享密钥。
2. 指⽤户拥有的东西,⽐如⾝份证,安全令牌,智能⼿机或其它移动设备。
3. ,更多时候被称为⽣物识别因素,是⽤户⾃⾝固有的特性。这些可能是从物理特征映射出来个⼈属性,⽐如通过指纹阅读器认证的指
纹;其它特征因素还包括⾯部识别和语⾳识别。此外还包括⼀些,⽐如,步态或语⾳模式。
4. 位置因素,通常是指尝试认证时所处的位置,可以特定位置的特定设备来强制限定认证,更常见的⽅式是跟踪认证来源的 IP 地址或来
源于移动电话或其他设备(如GPS数据)的地理信息。
5. 时间因素限制⽤户在特定的时间窗⼝内认证登录,并在该时间之外限制对系统的访问。
需要注意的是,绝⼤多数双因⼦验证⽅法依赖前三个验证因⼦,尽管更⾼安全性的系统可能会使⽤它们来实现,多因⼦验证可以依赖两个或多个独⽴凭证来实现更安全的⾝份验证。
什么是双因⼦验证?
双因⼦验证是多因⼦验证的⼀种形式。技术上,凡是需要两个验证因⼦才能访问的系统或服务,就可以使⽤它。然⽽,使⽤同⼀类别的两个因⼦并不构成 2FA;例如:需要密码和仍然被认为是单因⼦验证,因为他们都属于同⼀个验证因⼦ —— 知识。
就单因⼦验证服务⽽⾔,⽤户 ID 和密码不是最安全的。基于密码验证的⼀个问题是需要知识和努⼒来创建并记住强密码。密码需要保护免受很多内部威胁,像不⼩⼼留存的带有登录凭证的便签、旧的硬盘和社交⼯程漏洞。密码也容易收到外部威胁,⽐如⿊客使⽤暴⼒、字典或⽅式攻击。
如果给予⾜够的时间和资源,攻击者通常可以攻破基于密码的安全系统。密码仍然是单因⼦验证的最常见形式,因为它成本低、易于实现并且⼤家都很熟悉。多个质询-响应可以提供更⾼的安全性,这取决于它们是如何实现的,独⽴的⽣物特征验证⽅法也可以提供更安全的单因⼦验证⽅式。
双因⼦认证产品的类型
有很多不同的设备和服务来实现 2FA —— 从令牌、卡到智能⼿机应⽤程序。
双因⼦验证产品可以分为两类:登录时提供给⽤户使⽤的令牌,以及能正确识别和验证使⽤令牌⽤户的访问的基础设施或软件。
验证令牌可能是物理设备,如  或 ,或者它们可能存在于软件中,作为移动或桌⾯应⽤程序,⽣成⽤于
⾝份验证的 PIN 码。这些验证码(也称为⼀次性密码)通常由服务器⽣成,可以通过⾝份验证设备或应⽤程序识别为可信任的。⾝份验证码是链接到特定设备、⽤户或帐户的短序列,可以作为⾝份验证过程的⼀部分使⽤。
组织需要部署⼀个系统来接受、处理并允许(或拒绝)⽤户使⽤令牌进⾏⾝份验证的访问。这可以以服务器软件、专⽤硬件服务器或第三⽅供应商提供的服务形式部署。
2FA 的⼀个重要部分是确定通过⾝份验证的⽤户获得了对所有被批准使⽤的资源的访问权 —— 并且只访问那些资源。因此,2FA 的⼀个关键功能就是将认证系统与组织的认证数据连接起来。微软通过 ,提供了⼀些必要的基础设施,让组织机构可以通过 Windows 10 ⽀持
2FA,它可以使⽤ Microsoft 帐户进⾏操作,也可以通过 Microsoft Active Directory (AD)、Azure AD 或  对⽤户进⾏⾝份验证。
重定向过多是什么意思2FA 硬件令牌如何⼯作
2FA 的硬件令牌⽀持不同的⾝份验证⽅法。⼀个流⾏的硬件令牌是 YubiKey,这是⼀个⼩型 USB 设备,⽀持⼀次性密码(OTP)、公钥加密、⾝份验证以及 FIDO 联盟开发的通⽤第⼆因⼦协议。YubiKey token 由位于加州帕洛阿尔托的 Yubico 公司销售。
当具有 YubiKey 的⽤户登录⽀持 OTP 的在线服务(例如 Gmail、GitHub 或 WordPress)时,他们将 YubiKey 插⼊其设备的 USB 端⼝,输⼊密码,单击 YubiKey 字段并触摸 YubiKey 按钮。YubiKey ⽣成 OTP 并在字段中输⼊。
OTP 是⼀个 44 个字符的⼀次性密码;前 12 个字符是⼀个唯⼀ID,⽤于标识在帐户中注册的安全密钥。剩下的 32 个字符包含的信息使⽤⼀个只有设备和 Yubico 服务器知道的密钥进⾏加密,这个密钥是在初始帐户注册期间建⽴的。
在线服务将 OTP 发送到 Yubico 进⾏⾝份验证检查。⼀旦 OTP 被验证,Yubico  将返回⼀条消息,确认这是该⽤户的正确令牌。2FA 验证过程就完成了。⽤户提供了两个⾝份验证因⼦:密码是知识因⼦,YubiKey 是占有因⼦。
移动设备⾝份验证的双因⼦认证
智能⼿机为 2FA 提供了多种可能性,允许公司使⽤最适合他们的产品。⼀些设备能够识别指纹;内置摄像头可⽤于⾯部识别或虹膜扫描,麦克风可⽤于语⾳识别。配备  的智能⼿机可以作为另⼀个因⼦验证位置。语⾳或短消息服务(SMS)也可以⽤作的通道。
Apple iOS,Google Android,Windows 10 和 BlackBerry OS 10 都有⽀持 2FA 的应⽤,允许⼿机本⾝
作为物理设备来满⾜占有率。Duo Security 总部位于密歇根州安阿伯市,并于 2018 年以 23.5 亿美元的价格被思科收购,是⼀家 2FA 平台供应商,其产品让客户能够使⽤其可靠的设备获得 2FA。Duo 的平台⾸先确定⽤户是可信的,然后验证他们的移动设备也可以对⽤户进⾏⾝份验证。
⾝份验证器应⽤程序取代了通过⽂本、语⾳呼叫或电⼦邮件获取验证码的需要。例如,要访问⽀持 的⽹站或基于⽹络的服务,⽤户会输⼊⽤户名和密码 —— 知识因⼦。然后提⽰⽤户输⼊六位数字。⾝份验证器不必等待⼏秒钟才能收到短信,⽽是为它们⽣成号码。这些数字每30 秒更改⼀次,每次登录时都会有所不同。通过输⼊正确的数字,⽤户完成⽤户验证过程并证明拥有正确的设备 —— 所有权因⼦。
双因⼦认证是否安全?
虽然双因⼦认证确实提⾼了安全性 —— 因为访问权不再仅仅依赖于密码的强度 —— 双因⼦认证⽅案的安全性仅与最薄弱的组件⼀样。例如,硬件令牌取决于发⾏者或制造商的安全性。双因⼦系统收到损害的最引⼈注⽬的案例之⼀发⽣在 2011 年,当时安全公司  报告其SecurID ⾝份验证令牌遭到⿊客⼊侵。
当在帐户恢复的过程中使⽤了失败的双因⼦验证也会颠覆恢复过程,因为它通常会重置⽤户的当前密码并通过邮件发送临时密码来允许⽤户重新登录,从⽽绕过2FA流程。CloudflareCEO的业务Gmail帐户就遭受过⿊客这种⽅式的⼊侵。
虽然基于SMS的2FA成本不⾼,易于实现,⽽且对⽤户很友好,但是也容易受到⼤量攻击。在其特殊出版物800-63-3:数字⾝份指南中反对在2FA服务中使⽤SMS。NIST认为由于,通过短信发送的⼀次性密码太过脆弱,像这种⿊客攻击移动电话⽹络,像Eurograbber这种恶意软件可以拦截或重定向⽂本信息。
更⾼级别的⾝份验证
⼤多数攻击来⾃远程互联⽹连接,因此 2FA 使这些攻击的威胁更⼩。获取密码不⾜以进⾏访问,攻击者也不太可能获得与⽤户帐户关联的第⼆个⾝份验证因⼦。
但是,攻击者有时会破坏物理世界中的⾝份验证因⼦。例如,对⽬标房屋的持久搜索可能会在垃圾中或包含密码数据库的随意丢弃的存储设备中产⽣雇员 ID 和密码。然⽽,如果认证需要额外的因⼦,攻击者将⾄少⾯临⼀个障碍。因为因⼦是独⽴的,⼀个⼈的妥协不应该导致另⼀个⼈的妥协。
这就是为什么⼀些⾼安全性环境需要更⾼要求的多因素⾝份验证形式,例如,这通常涉及拥有物理令牌和与⽣物识别数据结合使⽤的密码,例如指纹扫描或声纹。诸如地理位置,设备类型和时间等因素也被⽤于帮助确定⽤户是否应该被认证或阻⽌。此外,还可以实时谨慎地监控⾏为⽣物识别标识符(如⽤户的击键长度,打字速度和⿏标移动),以提供连续⾝份验证,⽽不是在登录期间只进⾏⼀次性⾝份验证检查。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。