双因素身份验证(2FA)是多因素授权(MFA)的复杂版本,并被发明为为 - 现在被认为是使用用户名和密码的简单登录程序添加额外的安全性。鉴于各种网站的泄露登录凭据的数量(雅虎,LinkedIn,Twitter名称为几个),非常需要这个额外的层。当您尝试从不同机器或不同位置登录站点时,将发生最着名的示例之一(导致不同的IP)。使用支持2FA的登录步骤,您可能会收到一条短信,为您提供验证码。需要该代码来完成登录过程。

两个因子认证的定义

根据定义,2FA取决于用户身份确认的两种不同方法。在上面的示例中,用户知道登录凭据,并可以控制接收文本的电话。经常使用的其他因素包括:

  • 知道PIN码或TAN码(ATM取款、转账)
  • 访问电子邮件帐户(通过邮件发送验证码时)
  • 秘密问题(经常皱着眉头,因为它们有时很容易猜测)
  • 物理密钥(读卡器、USB密钥)
  • 生物特征识别(指纹读取器、虹膜扫描仪)
  • 可以扫描条形码或QR码的移动设备,并计算登录代码一次使用(Authy,Google Authenticator)

2fa的替代品

2FA有一些替代方案也可与2FA结合使用,或作为其中一个因素使用。例如:

  • 单点登录(SSO):这主要是用作抑制使用2FA方法的影响的方法,特别是当给定经过身份验证的用户访问多个资源时。该想法是,一旦用户已经识别并批准,SSO软件就可以访问与SSO相关的所有平台。鉴于违规可能影响SSO系统的登录步骤通常是通过使用MFA过程完成的。选择SSO系统时的另一个考虑因素是失败的后果。如果SSO软件脱机,则会将用户从所有基础资源中划分吗?
  • 基于时间的一次性密码(TOTP):这是一种特殊的认证方法,它使用了一种算法,该算法根据时间计算一次性登录代码。服务器和用户想要登录的同时使用相同的种子和时间戳运行同时计算。如果结果匹配,则会授予用户访问权限。显然,时钟需要同步,尽管通常内置的一些宽大术(最多允许一分钟差异)。由于丢失运行算法的机器或任何其他方式泄漏算法可以允许访问错误的人,因此这种方法通常用作MFA方法中的一个因素。
  • 令牌验证:除了物理令牌外,其他令牌可以用作身份验证手段。例如,考虑在智能手机上运行的应用程序,并可以向您的网络摄像头显示图像或播放可以与原件进行比较的声音。由于这不是一个非常强大的认证方法(现在),建议用作认证因子之一,而不是唯一的身份验证因素之一。

总结

尽管强大的密码仍然是一种非常有效的身份验证手段,但已经出现了许多导致密码泄漏的漏洞,因此已经开发出了与密码结合使用或取代密码使用的方法。两种身份验证方法的组合称为2FA,当我们使用两种以上的身份验证方法时,称为MFA。