双因素认证
双重身份验证是一种验证用户身份的方法,它要求用户提供两项证明,例如在线帐户的密码(第一个因素)和身份验证应用程序的一次性密码(第二个因素)。
身份验证因素的类型
身份验证因素包括:
- 知识因素
- 持有因素
- 固有因素
- 行为因素
知识因素:用户知道的内容
知识因素是理论上只有用户才知道的信息。密码是最常见的知识因素。个人识别码 (PIN) 和安全问题的答案也很常见。
在大多数 2FA 实施方案中,知识因素是第一个身份验证因素。
知识因素应用广泛,但其是最容易受到攻击的身份验证因素类型。
持有因素:用户拥有的东西
持有因素是人们拥有的东西。两种最常见的持有因素类型是软件令牌和硬件令牌。
软件令牌
软件令牌通常采用一次性密码 (OTP) 的形式。OTP 通常是 4–8 位数字的一次性密码,将在设定的时间后过期。软件令牌可以通过短信、电子邮件或语音消息发送到用户的手机。设备上安装的身份验证程序也可以生成令牌。
虽然基于短信文本的 OTP 是对用户最友好的持有因素之一,但也是最不安全的。用户需要互联网或蜂窝网络连接来接收这些身份验证码,而黑客可以使用复杂的网络钓鱼或中间人攻击来窃取它们。
身份验证应用程序(如 Google Authenticator、Authy、Microsoft Authenticator、Duo)无需联网即可生成动态令牌。用户通常通过扫描二维码将应用程序与服务绑定。然后应用程序持续为该服务生成时效性一次性密码 (TOTP)。每个 TOTP 都会在 30–60 秒后过期,因此很难被盗。
身份验证器应用程序虽比短信验证更难破解,但并非无懈可击。黑客可利用恶意软件直接从身份验证器窃取 TOTP。他们还可以发起 MFA 疲劳攻击——通过轰炸式推送通知诱导受害者误触确认。
硬件令牌
硬件令牌是专用设备,例如智能钥匙扣、身份证或加密狗,它们可以作为安全密钥。将一些硬件令牌插入计算机的 USB 端口,将身份验证信息传输到登录页面。其他令牌会生成验证码,供用户在出现提示时手动输入。
虽然硬件令牌很难被黑客破解,但它们也可能被盗,用户装有软件令牌的移动设备也可能被盗。根据 IBM 的《数据泄露成本报告》,多达 6% 的数据泄露事件与设备丢失和被盗相关。
固有因素(属性因素):用户个人具备的特征
固有因素也称为“生物识别”,是用户独有的物理特征或特点,如指纹、面部特征或视网膜图案。许多智能手机和笔记本电脑内置了人脸和指纹识别器,许多应用程序和网站都可以使用这些生物识别数据作为身份验证因素。
行为因素:用户执行的操作
行为因素是根据行为模式验证用户身份的数字工具。例如,用户的典型 IP 地址范围、通常所在位置和平均打字速度。
行为身份验证系统利用 AI 和机器学习 (ML) 来确定用户正常模式的基线,并标记异常活动,例如,使用新设备、新电话号码或从其他位置登录。
renference
- https://www.ibm.com/cn-zh/think/topics/2fa