双因素验证(2FA)也称为双因素验证或双因素验证,是一种安全验证过程。在此身份认证过程中,用户必须提供两个不同的身份认证元素,以便更好地保护用户证书和用户可以访问的资源。双因素验证提供了比基于单因素的验证更高级别的保证。在单因子认证中,用户只需提供一个认证因子——,通常是密码或密码。双因素验证方法不仅需要用户提供密码,还需要第二个因素。通常,此元素是安全令牌或生物识别元素,如指纹和面部扫描。
因为我们知道,光靠受害者的密码是不足以通过认证检查的,所以双因素认证增加了攻击者访问用户设备和在线账户的难度,从而达到了在认证过程中增加安全层的目的。双因素身份认证长期以来被用于控制对敏感系统和数据的访问,在线服务商越来越多地使用双因素身份认证来防止黑客窃取密码数据库或通过网络钓鱼活动获取用户密码。将使用用户证书。
身份认证的因素是什么?
人们可以根据情况用多种方法进行身份认证。目前,大多数认证方法都依赖于识别因素,如现有密码,而双因素认证则添加了保留因素或特征因素。
认证因子按计算中使用的近似顺序列出如下:
认知因素是指用户知道的内容,如密码、PIN码或其他类型的共享密钥。持有因素是指用户拥有的东西,如身份证、安全令牌、智能手机或其他移动设备。特征要素,更常被称为生物特征要素,是用户固有的特性。指纹读取器使您能够从认证的指纹等物理特征映射个人属性。其他特征还包括面部识别和语音识别。它还包含动作特性,如击键力、步态或语音模式。位置元素(通常是尝试验证的位置),可以强制验证到特定位置的特定设备。更常见的方法是跟踪身份认证院的IP地址或从其他设备(如手机或GPS数据)派生的地理信息。时间因素限制用户在特定时间内验证登录,并在该时间之外限制对系统的访问。大多数双因素身份认证方法依赖于前三个身份认证要素,安全性更高的系统可以使用它进行多因素身份认证,但多因素身份认证可以依赖两个或更多单独的身份证明进行更安全的身份认证。
什么是双因素验证?
双因素验证是多因素验证的一种形式。技术上需要两个认证因素的系统或服务可以使用。但是,使用同一类别的两个要素是2FA不构成。例如:如果需要密码和共享密钥,则被认为是单因素认证,因为它们都属于相同的认证系数——知识。
对于单因素身份认证服务,用户ID和密码最不安全。基于密码认证的问题之一是需要知识和努力来创建和记住强大的密码。密码需要保护,使其免受许多内部威胁的侵害,包括不小心带有登录凭据的便条纸、旧硬盘、社交工程漏洞等。密码也容易受到外部威胁,如黑客使用暴力、词典和彩虹手表进行攻击。
如果提供足够的时间和资源,攻击者通常可以攻破基于密码的安全系统。密码成本低,易于实现,大家都很清楚,因此仍然是单因素认证的最常见形式。多个问题-响应根据如何实施提供了更高的安全性,独立的生物识别身份认证方法提供了更安全的单因素身份认证方法。
双因素认证产品类型
从令牌、RFID卡到智能手机应用程序,有多种实施2FA ——的设备和服务。
双因素认证产品可分为两类:基础架构或软件,用于正确识别和验证登录时向用户提供的令牌和使用令牌用户的访问。
认证令牌可以是物理设备(如密钥FOBS或智能卡),也可以存在于软件中,以生成用于移动或桌面应用程序认证的PIN代码。这些验证码(也称为一次性密码)通常在服务器上生成,并通过认证设备或应用程序被识别为可信。验证码是连接到特定设备、用户或帐户的短序列,可用作验证过程的一部分。
组织应建立允许用户接受、处理和拒绝(或拒绝)使用令牌进行身份认证的访问的系统。可以作为服务器软件、专用硬件服务器或第三方供应商提供的服务进行部署。
2FA的一个重要部分是确认经过认证的用户可以访问所有批准的资源,并且只能访问这些资源。因此,2FA的核心功能之一是将认证系统与组织的认证数据相关联。微软通过Windows Hello提供必要的基础架构,使组织能够通过Windows 10支持2FA。您可以使用Microsoft帐户或通过Microsoft Active Directory (AD)、Azure AD或FIFA操作
2FA硬件令牌如何工作?
2FA硬件令牌支持不同的身份验证方法。受欢迎的硬件令牌是育碧钥匙。
,这是一个小型 USB 设备,支持一次性密码(OTP)、公钥加密、身份验证以及 FIDO 联盟开发的通用第二因子协议。YubiKey token 由位于加州帕洛阿尔托的 Yubico 公司销售。当具有 YubiKey 的用户登录支持 OTP 的在线服务(例如 Gmail、GitHub 或 WordPress)时,他们将 YubiKey 插入其设备的 USB 端口,输入密码,单击 YubiKey 字段并触摸 YubiKey 按钮。YubiKey 生成 OTP 并在字段中输入。
OTP 是一个 44 个字符的一次性密码;前 12 个字符是一个唯一ID,用于标识在帐户中注册的安全密钥。剩下的 32 个字符包含的信息使用一个只有设备和 Yubico 服务器知道的密钥进行加密,这个密钥是在初始帐户注册期间建立的。
在线服务将 OTP 发送到 Yubico 进行身份验证检查。一旦 OTP 被验证,Yubico 身份验证服务器 将返回一条消息,确认这是该用户的正确令牌。2FA 验证过程就完成了。用户提供了两个身份验证因子:密码是知识因子,YubiKey 是占有因子。
移动设备身份验证的双因子认证
智能手机为 2FA 提供了多种可能性,允许公司使用最适合他们的产品。一些设备能够识别指纹;内置摄像头可用于面部识别或虹膜扫描,麦克风可用于语音识别。配备 GPS 的智能手机可以作为另一个因子验证位置。语音或短消息服务(SMS)也可以用作带外身份验证的通道。
Apple iOS,Google Android,Windows 10 和 BlackBerry OS 10 都有支持 2FA 的应用,允许手机本身作为物理设备来满足占有率。Duo Security 总部位于密歇根州安阿伯市,并于 2018 年以 23.5 亿美元的价格被思科收购,是一家 2FA 平台供应商,其产品让客户能够使用其可靠的设备获得 2FA。Duo 的平台首先确定用户是可信的,然后验证他们的移动设备也可以对用户进行身份验证。
身份验证器应用程序取代了通过文本、语音呼叫或电子邮件获取验证码的需要。例如,要访问支持 Google 身份验证器的网站或基于网络的服务,用户会输入用户名和密码 —— 知识因子。然后提示用户输入六位数字。身份验证器不必等待几秒钟才能收到短信,而是为它们生成号码。这些数字每 30 秒更改一次,每次登录时都会有所不同。通过输入正确的数字,用户完成用户验证过程并证明拥有正确的设备 —— 所有权因子。
双因子认证是否安全?
虽然双因子认证确实提高了安全性 —— 因为访问权不再仅仅依赖于密码的强度 —— 双因子认证方案的安全性仅与最薄弱的组件一样。例如,硬件令牌取决于发行者或制造商的安全性。双因子系统收到损害的最引人注目的案例之一发生在 2011 年,当时安全公司 RSA Security 报告其 SecurID 身份验证令牌遭到黑客入侵。
当在帐户恢复的过程中使用了失败的双因子验证也会颠覆恢复过程,因为它通常会重置用户的当前密码并通过邮件发送临时密码来允许用户重新登录,从而绕过2FA流程。CloudflareCEO的业务Gmail帐户就遭受过黑客这种方式的入侵。
虽然基于SMS的2FA成本不高,易于实现,而且对用户很友好,但是也容易受到大量攻击。NIST在其特殊出版物800-63-3:数字身份指南中反对在2FA服务中使用SMS。NIST认为由于手机号的可移植性,通过短信发送的一次性密码太过脆弱,像信令系统7这种黑客攻击移动电话网络,像Eurograbber这种恶意软件可以拦截或重定向文本信息。
更高级别的身份验证
大多数攻击来自远程互联网连接,因此 2FA 使这些攻击的威胁更小。获取密码不足以进行访问,攻击者也不太可能获得与用户帐户关联的第二个身份验证因子。
但是,攻击者有时会破坏物理世界中的身份验证因子。例如,对目标房屋的持久搜索可能会在垃圾中或包含密码数据库的随意丢弃的存储设备中产生雇员 ID 和密码。然而,如果认证需要额外的因子,攻击者将至少面临一个障碍。因为因子是独立的,一个人的妥协不应该导致另一个人的妥协。
这就是为什么一些高安全性环境需要更高要求的多因素身份验证形式,例如三因子认证,这通常涉及拥有物理令牌和与生物识别数据结合使用的密码,例如指纹扫描或声纹。诸如地理位置,设备类型和时间等因素也被用于帮助确定用户是否应该被认证或阻止。此外,还可以实时谨慎地监控行为生物识别标识符(如用户的击键长度,打字速度和鼠标移动),以提供连续身份验证,而不是在登录期间只进行一次性身份验证检查。
来源:外文网翻译;参与翻译 (3人) : kevinlinkai, 忙碌的小蜜蜂, 边城。