两要素身份验证(2FA)指的是一个登录过程,它不仅需要密码。如果您的密码遭到某种程度的破坏,则2FA可以通过要求第二种形式的验证来阻止攻击者登录您的帐户.
两步验证(2SV)和多因素身份验证(MFA)是经常与两因素身份验证互换使用的术语,尽管稍后会有一些区别。登录设备或帐户时可能会遇到2FA,例如:
- 通过短信,电子邮件或Google身份验证器或Authy等身份验证应用发送的一次性PIN码
- 登录之前必须插入硬件认证设备,例如USB密钥。
- 除密码外的生物特征扫描,例如指纹或视网膜扫描
可以为许多在线帐户设置2FA,我们强烈建议您这样做。通常,这涉及在从新设备或位置登录时,或者在先前会话期满后输入PIN码。这似乎是一个负担,但是2FA在保护帐户免受黑客入侵方面大有帮助.
双重身份验证在实践中如何工作?
如果您的帐户已启用2FA,则最有可能在从新设备或与以前不同的位置登录时遇到该问题。您将像往常一样输入用户名和密码,然后需要输入另一种只能由您提供的验证形式来证明您的身份.
并非所有验证用户的方法都相同。从 最安全至最不安全:
- 一种 硬件认证设备 例如YubiKey或Titan安全密钥。这些是USB设备,您必须先将其插入设备才能登录.
- 一个 验证应用 例如Google Authenticator或Authy。这些应用会在您的智能手机上生成临时PIN码.
- 一种 生物特征扫描 例如脸部,指纹或视网膜扫描。生物识别扫描的安全性根据所使用的方法,身份验证软件的质量以及用于输入的硬件的不同而有很大差异。.
- 一种 通过短信发送的PIN码 到您的手机。 SMS未加密,容易受到SIM交换攻击,因此被认为安全性较低.
- 一种 通过电子邮件发送的PIN码. 此选项最不安全,因为通常可以从任何地方访问电子邮件帐户,这与要求您使用特定设备的其他方法相反。此外,电子邮件未加密.
即使您的帐户支持2FA,默认情况下也可能未启用它。这是因为需要为每个站点设置2FA的注册过程。如果没有该注册过程,用户将只能被锁定其帐户。您需要深入研究帐户的安全性或登录设置,并希望找到2FA设置.
SMS(文本)消息两因素验证
使用SMS方法的优点是它几乎是通用的,并且绑定到您的SIM卡上,而不是您的手机上。几乎所有的手机都接受短信,即使没有安装应用程序的“哑”手机也是如此。如果您更换手机,或者手机损坏或丢失,只需将SIM卡弹出另一部手机,就可以了.
主要缺点是,为了使SMS消息能够通过,您必须处于蜂窝范围内。此外,如果全球旅行者在不同国家/地区更换SIM卡,他们可能会遇到SMS方法的问题,因为每个SIM卡的电话号码都不同.
SMS 2FA的一个更高级的缺点是,坏蛋很难渗透到SMS系统并拦截代码,或者使用社交工程技术来致电您的移动服务提供商并将您的电话号码分配给他们的SIM卡并不困难。这种邪恶行为通常只保留给攻击者故意作为目标的人,而不是正常的工厂攻击者。如果您引起了像这样的老练坏人的注意,那么安全防护措施无济于事.
两因素身份验证应用
市场上有各种2FA应用程序。最受欢迎的是Google Authenticator,但Authy和LastPass等竞争对手也拥有2FA应用。这种类型的产品分裂无助于2FA的采用,因为公司必须花费时间来决定使用哪个2FA平台。如果一项服务使用与其他服务不同的2FA平台,则客户还必须愿意在手机上安装另一个2FA应用程序.
对于2FA应用程序来说,最大的优点是,它们不需要任何类型的Internet或蜂窝连接即可运行。它们只是根据需要显示必要的代码。 2FA应用程序的缺点是,如果您丢失或损坏了手机而无法从中获取验证码,则很难进入自己的帐户.
2FA应用程序的另一个小缺点是,每个服务都需要单独设置。这通常意味着您只需要使用该应用程序扫描QR条码,但是对于某些公司实施而言,它可能会涉及更多.
最好的服务同时提供SMS和App 2FA,但是这些服务很少而且相差很远.
什么是身份验证?
为了使您能够访问电子邮件之类的东西,电子邮件系统必须满足两点要求。我已经在最后的词汇表中对它们进行了更详细的描述,但是高层次的观点是这样的:
认证;有时缩写为AuthN,表示您就是您所说的人.
授权;有时是AuthZ的缩写,表示您可以阅读电子邮件.
两步验证和两步验证有什么区别?
许多计算机科学专业的学生和哲学家都会在凌晨进行辩论,尽管两者之间存在细微的差异,但实际上这并不是一个很大的差异。.
主要的症结在于,在身份验证/授权中没有“验证”的概念。我们具有身份验证和授权。模棱两可的术语“验证”的引入可能导致人们对某人知道的东西与某人拥有的东西之间的区别感到困惑.
此外,验证是什么意思?这是否意味着该人已被识别(AuthN)还是意味着该人被允许访问某些资源(AuthZ)?对于这些概念,我们已经有了足够的用词.
第二个混淆点是人与人之间的区别。从表面上看,很容易认为使用指纹的生物特征第二要素之类的东西就构成了用户拥有的东西(他们拥有指纹)。但是,在美国法院系统中,使用指纹作为电话解锁机制一直存在争议。一些法官认为指纹是隐含的证词,而证词是某人知道的东西,而不是他们所拥有的东西.
这两个概念都属于多因素身份验证(MFA)的保护范围,并且都要求您输入除密码之外的其他内容。别的什么都不是指纹,一次性数字序列或Yubikey都没关系.
为什么我们需要密码以外的其他东西?
用户名通常很容易发现;在许多情况下,这只是我们广为宣传的电子邮件地址;对于论坛而言,这是每个人都能看到的显示名称。这意味着您唯一的真正保护,防止他人登录,因为您的密码强度很高.
恶意分子通过三种主要方式获取密码。首先是简单地猜测。您可能以为成功的可能性很小,但可悲的是,许多人都使用非常弱的密码。我在日常工作中看到很多密码,世界上有太多使用Chuck123的Chucks.
第二种方法是利用字典攻击。世界上数十亿个帐户的其余大多数密码由几千个单词组成。恶意分子对站点进行字典攻击,因为他们知道该站点上的大多数帐户将使用这些常用密码之一.
第三种方法是窃取数据。数据泄露通常会暴露存储在公司服务器上的密码.
使用2FA的站点和系统除需要密码外,还需要第二个因素登录。表面上看,这似乎很愚蠢。如果密码很容易被盗用,那么只需添加第二个密码就能为表带来多少价值? 2FA可以解决这个问题。在大多数情况下,2FA采取每分钟更改一次或只能使用一次的数字代码的形式。因此,设法获得密码的人将无法登录您的帐户,除非他们还设法获得了您当前的2FA代码.
这样,2FA消除了创建弱密码并在服务之间重用它们的人为因素。它还可以防止帐户数据被盗,因为即使坏人设法窃取了网站的所有用户名和密码,如果没有每个用户的必不可少的2FA代码,他仍然无法登录到这些帐户中的任何一个.
为什么要使用两因素身份验证?
考虑到大多数密码黑客都是通过互联网发生的。一个陈旧但可用的类比是抢劫银行。在上网之前,抢劫银行非常困难。您必须招募一名工作人员,以防银行找到最佳时间抢劫,获得一些武器和伪装,然后真正进行抢劫而不会被抓住.
如今,同一位银行抢劫犯可以坐在世界各地,并在您不知情的情况下,强行强行使用您的网络银行帐户。如果他无法进入您的帐户,则直接转到下一个帐户。几乎没有被抓住的风险,几乎不需要任何计划.
随着2FA的推出,该银行抢劫犯几乎没有成功的机会。即使他正确地猜出了您的密码,他也必须跳上飞机,追踪您,并偷走您的2FA设备才能进入。一旦将物理障碍引入登录序列,则对于登录而言,这将变得更加困难。坏人要成功.
2FA要求您提供两件事:您知道的东西和拥有的东西。您所知道的就是您的密码。您所拥有的就是数字代码。由于数字代码变化如此频繁,因此几乎可以肯定地在任何时候能够提供正确代码的任何人都拥有代码生成设备。 2FA被证明对暴力密码攻击非常有弹性,这是个好消息。坏消息是采用率非常低。每个服务都必须决定实施2FA-您无法自行决定要在每个站点上使用。尽管现在越来越多的站点支持2FA,但更多站点不支持2FA。令人惊讶的是,非常关键的网站(例如银行和政府网站)采用2FA的速度非常慢.
有关: 什么是蛮力攻击
企业中的两因素身份验证
与企业公共服务相比,2FA在企业中的采用率更高。许多拥有远程工作人员的公司已大力实施2FA。公司最常用和最成熟的2FA机制是RSA SecurID。它已经存在多年了,可以作为应用程序安装,也可以作为硬件加密狗提供,就像带有显示代码的屏幕的USB记忆棒一样。如今,另一个强有力的竞争者是Okta。 Okta开始专注于单一登录(SSO),这意味着用户只需登录一次即可访问许多第三方服务。许多公司大量使用SSO,现在Okta提供2FA,它变得越来越受欢迎.
词汇表
身份验证(AuthN):您就是您所说的人。这是您的用户名和密码起作用的地方。同时出现这两种情况的任何人都被视为您。但是,仅通过身份验证并不意味着您将被允许阅读您的电子邮件.
授权(AuthZ):通过身份验证(系统知道您是谁)后,它即可确定允许您访问的内容。在登录到电子邮件的情况下,实际上只有一件事要做。但是,请考虑一种办公室方案,在该方案中,您可以读取某些共享的网络驱动器,但不能读取其他网络驱动器。这是AuthZ层,它决定了您被允许执行的操作,但是只有在可能经过身份验证之后才能执行该操作.
使用2FA是非常好的安全措施,您应该考虑尽可能地启用它。 Two Factor Auth.org网站上有一个有趣的项目,该项目试图列出支持2FA的公司,并提供一种简便的方法来公开羞辱不支持2FA的公司。如果您当前使用的服务不支持2FA,则可以找到另一种服务来.
也可以看看: 密码强度检查器,这是一种检查密码质量的有趣方式(免责声明!).