您一定听说过双因素身份认证的概念及其优势吧?它需要您输入除了密码以外的其他身份特征并通过认证的方式,才能解锁并登陆您的在线帐户在实际应用中,我们可鉯有多种方式来实现双因素身份认证本文将和您一起探讨各种双因素身份认证方式的优缺点,以方便您根据实际情况作出选择
双因素身份认证与两步身份认证
在开始深入讨论之前,让我们先花一点时间来厘清双因素身份认证和两步身份认证之间的区别它们既有相似之處,又不尽相同
双因素身份认证是使用两种不同类型的认证方式保护用户的帐户。也就是说您必须提供下面三种要素中的两种:
- 您知噵什么:诸如密码信息、或是安全问题的答案。
- 您拥有什么:例如您持有智能手机、或是其他物理设备。
- 您是谁:诸如指纹或虹膜之类嘚身体特征
因此,真正的双因素身份认证意味着您必须持有上述两种不同的因素才能通过认证完成登录。
而如果您的帐户只是受到上述三种因素中同一种类型的两个“锁”的保护那只能称为两步身份认证。例如:密码信息和安全性问题的答案都是您所知道的只是在身份认证过程分为了两个步骤,而不是两个因素虽然它相比单一密码的保护效果较强,但是仍然达不到双因素身份认证的效果
下面我們来探讨六种常见的双因素认证方式的优缺点:
作为大家比较收悉的一种方式:我们在创建帐户时,可以选取一到多个安全问题并事先為每个问题设置好相应的答案。后续在使用该帐户登录的时候我们必须针对每一个问题提供正确的答案,方可完成身份验证以及访问授權
(1) 安全问题的优点
安全问题本身非常容易被设置。在大多数情况下我们只需从一个下拉菜单中,选择便于记忆且能够给出确定回答的問题即可而且我们不需要任何其他设备,毕竟那些答案就储存在我们的脑海中
(2) 安全问题的缺点
许多安全问题的答案很容易被推敲出来。例如:人们可以在公共记录、或社交媒体上找到诸如:父亲的姓氏、或是您所在的街道等的信息也就是说,我们很容易通过社会工程(唎如:网络钓鱼电子邮件或电话)意外地泄露此类敏感信息。
要解决安全问题的缺点您可以通过输入乱码,来有效地使其成为自己的“苐二密码”当然,您必须小心以避免丢失或遗忘它们。因此您可以适当地选用密码管理器来予以保护。
方式2:短信或电子邮件
另一種常见的方式是:在您创建帐户的时候提供某个常用的手机号码。而当您再次登录时系统会通过短信或电子邮件向您发送验证代码。這是一个临时的验证码它会在较短的时间内(如:1~5分钟)过期。因此您必须及时将它输入并提交,才能完成登录
(1) 短信邮件验证的优点
只偠您手头有能够接受短信或电子邮件的设备,便可在代码发出后的几分钟之内接收到而且此类设备通常比较便宜。当然如果您丢失了該设备,通常也可以通过重发手机卡号等方式从另一台设备上继续接收到相关的代码信息。
(2) 短信邮件身份认证的缺点
该方式的运作前提昰:您必须充分信任需要登录的系统服务也就是说,一些信誉不佳的服务提供商可能会将您的电话号码用于其他广告营销目的。另一方面如果某个区域的移动网络信号不佳、甚至没有服务的话,您可能无法接收到相应的登录代码
此外,短信和电子邮件的通信信道不┅定会被安全加密因此一些技术高超的黑客可以扮演“中间人(MIM)”的角色,在无需接触到接收设备的情况下轻而易举地以电磁拦截等方式获悉代码的具体内容。
如上图所示如果有条件的话,我们可以使用身份认证应用程序(请参见: /tag/5-best-alternatives-google-authenticator/)扫描某个包含密钥的二维码(QR)。据此密钥会被加载到该应用之中,并生成定期变化的临时密码你通过将该密码输入页面,便可完成登录所需的认证
(1) 一次性密码的好处
在将帳户添加入身份认证应用之后,您完全可以在移动网络服务的情况下访问它们由于密钥存储在设备之中,因此不会像短信那样被截获洏且,如果您使用的是诸如Authy的身份认证应用则可以在多个设备之间同步密码,以有效地避免单一设备的局限性
(2) 一次性密码的缺点
如果掱机电池的电量耗尽,那么您将无法访问到验证码(当然短信的方式也有此局限性)由于设备需要花时间来生成代码,因此如果设备和服务の间的时钟不同步的话则会导致代码的无效。这恐怕就是为什么我们需要始终将密码打印服务作为一种紧急的备用登录方式的原因。
雖然可能性很小但是如果黑客以某种方式克隆了您的密钥,那么他就可以随意生成自己的有效代码而且,如果该登录服务不限制登录嘗试的失败次数的话那么黑客也可能会通过蛮力破解的方式,来穷举您的帐户密码
通用双因素(Universal 2nd Factor,U2F)是一种开放的标准可被用于USB设备、NFC設备、以及智能卡中。在身份认证的过程中您只需插入USB密钥,碰一碰NFC设备、或是滑一下智能卡即可
作为一种真正独立的物理介质,U2F钥匙只要得到了妥善的保管就不会被黑客进行数字拦截或重定向。与大多数双因素方式不同由于只对注册过的账户生效,因此U2F钥匙能够囿效地应对网络钓鱼类攻击它可谓当前最安全的双因素身份认证(2FA)方式之一。
由于相对较新因此U2F钥匙的应用范围并不太广泛。U2F钥匙的另┅个主要缺点是设备上的USB接口类型并不通用(请参见:/tag/understanding-usb-cable-types-one-use/)如果您拥有一个带有USB-A接口的U2F钥匙,那么在没有适配器的情况下它将无法被插到Android、iPhone戓最新的MacBook上使用。
U2F钥匙的起价为20美元左右同时它提供了一种坚固耐用的高级版。虽然高端的U2F钥匙内置了NFC以方便您在移动设备上直接使鼡它们,但是其售价比较昂贵
在某些平台上,当您输入了密码之后会在设备上收到包含相关登录尝试通知的推送消息。您只需在设备仩点击批准或拒绝便可响应请求。
(1) 推送通知的好处
推送通知显然比先打开身份认证应用再复制代码的操作要方便得多。此类通知通常會包含有关:谁在何种设备类型上通过哪个IP地址,以及在哪里正在尝试登录等信息这些通知类报警对于正在发生的恶意登录尝试,将┿分及时且有效
此外,由于推送通知能够与您的手机绑定在一起因此它巧妙地避开了黑客复制您的密码,或窃取短信内容的风险当嘫,我们也需要随身携带着此类设备才能保证正常的登录
(2) 推送通知的缺点
与前面不同,推送通知的认证方式要求您的手机设备能够连接箌互联网上也就是说:如果您没有移动数据连接,且并未连接到Wi-Fi上的话将无法收到推送过来的登录提示。此外在您忙碌或精神不集Φ时,有可能会忽略推送中提示或在未经思考的情况下批准了陌生的登录验证请求。
方式6:生物识别(面部、语音或指纹)
面部识别、语音識别和指纹扫描都属于生物识别的类型它们往往被运用在某些需要安全检查的区域(例如:政府),以确定访客的真实身份
(1) 生物识别技术嘚优势
生物识别技术极难被破解。即使是最容易复制的指纹也需要与指纹所有者进行某种的物理接触才能获取。语音识别往往需要通过您的语音说出某段文字而面部识别更是需要脸部上的多个特征点去比对已登记的样本信息。
(2) 生物识别技术的缺点
人们在面对生物识别技術的时候往往会心存顾虑,生怕此类“高科技”可能会对自己的某些器官造成损伤同时,他们也害怕这些与生俱来的生命特征会被認证技术采集后泄露出去,进而给自己的生活造成巨大的困扰
当然,生物识别技术在面对多样性的人体特征时也有可能产生“误判”。此类错误率往往和技术实现的成本及造价有着密切的关系
综上所述,各种双因素身份认证方式可谓各有利弊究竟该如何取舍?其实还昰取决于您的真实场景需求。在此我们仅给出过往项目的经验和建议:
- 如果是为了获得最大的安全性和私密性,您可以选用U2F钥匙它们既不会被跟踪,又不会泄露个人信息不过您需要花钱购买U2F钥匙,而且可能要随身携带
- 如果是为了方便起见,您最好选用短信或邮件該方式虽然比单步身份认证更快、更容易使用,但是您可能会碰到信号不佳以及消息被截获的潜在危险。
- 如果想达到上述两方面的平衡您最好使用身份认证应用、以及基于时间的一次性密码。不过您必须小心地保留和备份机密性的代码,以防止设备的丢失或损坏您吔可以使用Authy,在多台设备上实现同步与登录
- 如果您想实时获悉登录的尝试,则可以选用推送通知当然,您需要在确保使用的时候具囿稳定的互联网连接,并能够认真地查看推送过来的消息内容