![紫色六角图案](/static/sites/default/files/2024-02/hero-bg-hex-puple-gradient-1900x345.jpg)
什么是双因素身份验证 (2FA)?
身份验证在现代网络安全领域扮演着越来越关键的角色。 随着网络威胁的不断演变,涌现出许多更为精细的防护手段,其中就包括双因素验证 (2FA)。
让我们深入了解 2FA 的基础知识、工作机制,以及其为何能够成为您数字安全架构中不可或缺的一环。
什么是 2FA?
双因素验证(又名两步验证)是一种安全措施,其要求用户在获得系统或服务访问权限前,必须提供两种不同的验证方式(也称为因素)。 双重身份验证因素额外增加了一层保护,使未经授权的访问更加困难。
传统上,用户身份验证只需提供电子邮件地址或用户名和密码。 尽管这涉及到登录凭证的组合,但从技术上讲其仍然是一种身份验证因素。
此外,如果没有良好的密码管理习惯,网络犯罪分子很容易突破安全防线,危及您的在线账户、应用程序或资源。 一旦其得手,我们无法预测对方会窃取多少敏感数据。
简而言之,这就是 2FA 能够崭露头角的原因。 其不仅可降低数据泄露风险,还可保护员工和用户免受身份盗窃和其他威胁。
2FA 身份验证因素
身份验证因素是与特定用户相关联的唯一标识符。 多数 2FA 系统采用三种传统身份验证因素中的两种:
- 知识因素: 只有用户知道的内容,例如密码、PIN 或安全问题的答案。
- 占有因素: 只有用户才能拥有的内容,例如安全密钥、移动设备或身份证卡。
- 固有因素: 只有用户才能做到的事情。 作为一种生物识别身份验证方式,其通过人脸识别、指纹识别和虹膜扫描来验证身份。
除此之外,许多现代前沿技术还采用了两种新型自适应身份验证因素:
- 行为分析: 该因素分析与行为模式相关的数字痕迹。 例如,如果尝试登录的设备不是用户的受信任设备,而是一台新手机,则 2FA 验证系统可能会将该登录视为可疑。
- 地理位置: 该因素考虑用户身份验证的地理位置,分析 IP 地址和 GPS 位置。
通常,组织可配置 2FA 系统,要求同时使用上述几种因素。 用户必须正确提交所需的信息,无论是主动提交还是被动提交,才能访问其在线账户、服务或系统。
2FA 与 MFA
既然理论上可集成任意数量的身份验证手段,为何要局限于两个因素呢? 这正是多重身份验证 (MFA) 的核心思想。
MFA 是 2FA 的扩展,其涵盖了两个或更多的身份验证因素。 简而言之,2FA 是 MFA 的子集。
二者间的显著差异在于,MFA 拥有更高的适应性。 换言之,其可根据情境灵活地加强验证流程,要求用户在特定情况下提供第三种身份验证因素。
尽管 2FA 本身已是一种有效的安全措施,但 MFA 是一种更全面的解决方案。 正是基于这一点,据对 IT 专业人士的调查显示,高达 83% 的企业要求员工使用 MFA 来访问所有公司资源。
应用案例
双因素验证作为 MFA 中最为广泛的形式,非常适合那些需要不同人员访问数据的多样化应用场景。 例如,医疗保健应用程序通常使用 2FA,因为这种形式可以让医生和其他临床医生按需访问(通常使用个人设备)敏感的患者数据。
其他值得注意的行业应用场景包括:
- 金融业:银行和其他金融机构使用 2FA 来防范身份盗窃和欺诈行为,确保客户能够安全地访问在线账户,享受便捷的移动银行服务。
- 政府: 在美国,所有联邦政府网站均强制实施 2FA,确保敏感信息和公民数据的安全。
- 高等教育: 大学依靠 2FA 来保护存储着成绩、日程安排和个人信息的学生门户。
- 社交媒体: Facebook 和 X(原 Twitter)等平台提供 2FA 服务,以保护个人信息并增强账户安全性。
2FA 的运作机制是什么?
2FA 过程很简单。 其具体步骤可能会因身份验证方式而异,但基本流程如下:
- 用户登录: 用户输入用户名和密码。
- 身份验证请求: 如果初次登录成功,系统会触发第二个身份验证因素。
- 因素验证: 用户提供第二个身份验证因素,比如由身份验证器应用程序生成的一次性令牌或密码。
- 访问授权: 如果两个因素都得到验证,用户即可访问系统。 通常情况下,整个过程只需几秒钟,对用户体验几乎没有影响。
双因素验证方式
2FA 系统可通过多种方式来索取身份验证因素。 每种方法都有其优缺点,但都是向提高账户安全性迈出的一步。
让我们深入了解最常见的身份验证方法,探究其工作原理以及为账户安全所带来的价值:
电子邮件与短信身份验证
该方法会将一次性实时密码 (OTP) 发送到用户的电子邮件收件箱或以短信形式发送到手机。 简而言之,OTP 是一个 5 至 10 位的验证码,用户正确输入后即可获得对所请求资源的访问权限。
短信身份验证是最为便捷且用户友好的解决方案之一。 而且,考虑到移动设备的普及性,用户很容易上手。
然而,该方法也容易受到网络威胁。 黑客可轻松拦截短信,而短信通常未经加密。 此外,如果攻击者获得了受害者手机的物理访问权,甚至可直接读取 OTP。
硬件令牌
硬件令牌是一种物理设备,如安全密钥、智能卡或 USB 软件保护器。 此类设备可动态生成一个唯一的令牌,该令牌通常仅在有限的时间内有效。
登录过程中,用户按下令牌上的按钮,该按钮使用算法创建一个 OTP。 用户将此验证码输入到设备或应用程序的身份验证提示中。 服务器使用相同的算法和安全密钥生成自己的 OTP,并将其与用户输入的 OTP 进行比较。 如果二者匹配,则用户将通过身份验证并授予访问权限。 通过这种方式,即使密码泄露,也能在没有物理令牌的情况下防止未经授权的访问。
然而,硬件令牌身份验证的明显缺点是其并不总是切实可行或适用于所有情况。 其设置和维护成本可能较高,而且设备可能会丢失或被盗。
软件令牌
软件令牌是一种通过用户计算机或移动设备上的身份验证应用程序发送的基于时间和事件的 OTP。 与硬件令牌类似,此方法会动态生成一个仅在短时间内有效的验证码。
总体而言,这是一种用户友好且简单的过程,但确实需要用户在其设备中下载额外的软件。
推送通知
推送通知通过直接向用户信任设备上的安全移动应用程序发送警报来验证用户的身份。 该消息包含有关身份验证尝试的详细信息,允许用户通过单击进行批准或拒绝访问请求。
理论上,该过程确认注册到身份验证应用程序的设备为用户所有。 推送通知消除了中间人攻击的风险,确保用户的账户安全。 这种 2FA 方法具有很高的安全性,但依赖于互联网的连接情况。
生物识别身份验证
最后,还有各种形式的无密码身份验证,其中最值得一提的是生物识别技术。 简而言之,生物识别身份验证使用生物特征来验证身份。
例如,iPhone 用户对面部识别并不陌生,该功能可用来访问 Apple ID 账户信息以及其他服务。 其他系统则使用指纹、虹膜或视网膜扫描。
因此,其无疑是目前最安全的 2FA 选项之一。 该技术不仅将用户作为令牌,而且非常方便,几乎无法破解。
2FA 为什么很重要?
简而言之,2FA 是基于现状迈出的重要一步。 基于密码的安全防护已不足以保护账户、网站和服务免受未经授权的访问。
以一些惊人的统计数据为例:
- 暗网上正在流通超过 240 亿个用户名和密码组合。这一数字在 2020 年至 2022 年间增长了 65%,并且很可能继续增长。鉴于大多数人会重复使用旧密码,一次数据泄露可能会同时泄露多个账户。
- 谷歌 《2023 年威胁地平线报告》发现,86% 的入侵事件涉及凭证被盗。 换言之,该问题几乎总是造成更大、更致命网络威胁的根本原因。
- Verizon《2024 年数据泄露调查报告》得出结论,报告 68% 的入侵事件均为“认为因素”(例如弱密码)造成。
更糟糕的是,即使在严格的密码管理条件下,破解账户也不会花太多时间。 例如,黑客可轻松通过浏览社交媒体找到回答基本安全问题所需的个人信息。
好消息是: 2FA 和 MFA 可提供帮助。 实际上,二者有效缓解了多种网络威胁,包括:
- 密码被盗:如上所述,糟糕的密码管理使得窃取凭证变得容易。 2FA 确保不能仅靠窃取的密码对帐户进行破坏。
- 暴力攻击: 黑客使用越来越容易获得的计算能力随机生成密码,直至破解密码。 但是计算能力无法破解第二个因素。
- 网络钓鱼:如果通过网络钓鱼攻击盗取了用户名和密码,2FA 可以阻止未授权的访问。
- 社交工程:狡猾的黑客越来越多地利用社交媒体发起攻击,诱导用户自愿泄露凭据。但是,如果没有第二个因素,这些努力将毫无意义。
2FA 实施: 技巧和最佳实践
您是否正在考虑实施 2FA? 以下是一些需要牢记的关键步骤:
1. 选择正确的身份验证因素
在各类身份验证器中,也有许多不同的选项可供选择,而且新技术也在不断涌现。 如何选择用于 2FA 协议的因素?
以下几个问题将帮助您做出正确选择:
- 您是否希望身份验证对用户透明?
- 您希望用户携带物理设备还是在线进行身份验证?
- 您是否希望网站本身也向用户进行身份验证?
- 您保护的信息有多敏感?相关风险有哪些?
- 用户要求中是否涉及要物理访问(链接)办公室、实验室或其他区域?
Entrust 支持最广泛的 2FA 安全身份验证器,使您能够选择适合安全需求和用例的最佳选项。 更重要的是,Entrust 可以提供专家咨询指导,帮助您做出正确选择并简化向高度安全双因素身份验证的转变。
2. 指定用户体验 (UX) 策略
尽管 2FA 通常是一个无缝的工作流程,但你最不想做的就是给用户带来不便的额外步骤。 用户体验对于数字用户引导尤其重要,因为繁琐的过程可能会让客户放弃账户注册。
寻找在安全性、速度和 UX 之间取得平衡的 2FA 解决方案。
3. 保护您的 2FA 基础设施
确保涉及传输 2FA 代码或令牌的通信使用安全的加密协议(如传输层安全协议)进行加密。
4. 考虑自适应身份验证
根据用例,您可能需要一个更强大的多因素解决方案。 自适应身份验证(或基于风险的逐步身份验证)是一种动态的身份验证方法。 作为一种情景感知方法,其根据感知到的风险调整所需的身份验证级别和类型。
例如,自适应 MFA 在所有条件看起来正常的情况下可能只需用户名和密码。 但是,如果登录来自异常 IP 地址,其可能会发出逐步质询,例如一次性验证码。 该方式在安全性与便利性之间取得了平衡,将合法用户访问资源的阻碍降到最小,同时对可疑活动采取更严格的措施。
通过 Entrust 增强安全性
Entrust Identity 是我们的统一 IAM 产品组合,可为您的组织提供实现有效零信任架构所需的基础。 凭借我们的安全工具套件,您可利用:
- Identity as a Service: 基于云的 IAM 解决方案,具有防网络钓鱼的 MFA、无密码身份验证和单点登录 (SSO)。
- Identity Enterprise: 提供本地部署的 IAM 功能,包括对员工和用户进行高保证级别的身份验证,包含智能卡的发卡服务。
- Identity Essentials: 快速、经济高效的多重身份验证 (MFA) 解决方案帮助使用 Windows 的组织实施零信任架构。