关于安全:双因子与多因子身份验证有什么区别

50次阅读

共计 1937 个字符,预计需要花费 5 分钟才能阅读完成。

双因子身份验证(Two-Factor Authentication, 2FA)是多因子身份验证(Multi-Factor Authentication, MFA)的一种。这两种身份验证解决方案都须要额定的身份验证因素来保障帐户的安全性。

在区别 2FA 和 MFA 有什么不同之前,咱们先来理解身份验证的概念和身份验证因素。

什么是身份验证?

身份验证是身份拜访治理(Identity and Access Management, IAM)的一个基本概念,让零碎可能验证用户的身份。身份验证因素是在授予拜访权限之前证实用户自己身份的平安机制。

目前存在三种类型的身份验证因素:

  • 常识因素(knowledge factor):一次性明码(one-time password, OTP),集体识别码(PIN)/ 明码、密保问题的答案
  • 持有的对象(possession factor):挪动设施或其余物理设施、硬件令牌(Ukey)、平安令牌 / 平安密钥
  • 生物特色(inherence factor):生物特色,如指纹、面部辨认、视网膜扫描、语音辨认等

别离来看 2FA 和 MFA

以下列出了双因子和多因子身份验证的定义,以及这两种平安机制之间的区别。

什么是双因子身份验证?

双因子身份验证(2FA)是多因子身份验证的一种,是一种在授予在线帐户拜访权限之前通过两个因素验证最终用户的身份的平安机制。

以下是无关 2FA 的例子:

  • 用户尝试应用其用户名和明码登录在线服务
  • 零碎确认登陆凭证正确,提醒第二个身份验证因素
  • 用户在其手机上关上身份验证器应用程序,该利用会生成一个平安代码
  • 用户在登陆页面上输出代码并被授予拜访权限

什么是多因子身份验证?

多因素身份验证(MFA)要求用户在受权零碎拜访之前提供两个或更多不同的身份验证因素。它应用身份验证因素的组合。

以下是 MFA 的示例:

  • 用户尝试应用其用户名和明码登录在线服务。
  • 零碎确认登录凭证正确,提醒第二个身份验证因素。
  • 用户在物理设施上收到推送告诉以确认他们正在尝试登录。
  • 用户被重定向到服务的登录页面,并提醒应用面部辨认(生物特色)。
  • 系统验证面部辨认尝试并授予用户拜访权限。

2FA 和 MFA 之间差别

  • 2FA 是 MFA 的一个子集(如下图所示)
  • 2FA 的所有实例蕴含在 MFA 实例中
  • 但并非所有 MFA 实例都是 2FA
  • MFA 须要比 2FA 更多的因素来授予用户拜访权限

为什么 2FA 和 MFA 很重要?

大多数金融、医疗保健、教育和政府机构都提供线上服务,以不便用户应用。这些服务提供商会存储用户的个人身份信息(Personal Identifiable Information, PII)、受爱护的医疗保健信息(Protected Health Information, PHI)和其余敏感信息。在过来账户爱护依赖于繁多因素的身份验证(Single-factor Authentication, SFA),通常是应用明码来验证身份,但在现在充斥威逼的网络环境下,依赖明码进行验证是远远不够的。

古代网络环境中的犯罪分子可能轻易地在未经受权的状况下拜访敏感信息,尤其是通过 SFA 登录。黑客可能应用许多技术来窃取明码并利用用户的个人信息施行歹意攻打或其余犯罪行为。

常见的明码窃取办法

以下是三种常见的窃取明码的形式:

蛮力攻打

在这种类型的网络攻击中,黑客策略性地猜想用户的明码,直到他们破解正确的明码组合。当用户的明码强度较弱时,例如生日,这种攻击方式的成功率特地高。

数据泄露

用户或服务提供商无心在网上裸露了的敏感数据,例如 LinkedIn 上的生日,这些数据被黑客发现并利用,从而取得未经受权的拜访。历史数据泄露导致的凭据泄露为黑客提供了更容易进行攻打的媒介。只管存在重大安全隐患,但许多用户依然在不同帐户中重复使用雷同的明码。攻击者能够在同一用户的多个帐户中应用这些泄露的明码重复尝试,直到他们破解正确的明码组合。

键盘记录器

黑客在用户毫不知情的状况下,在其零碎上装置键盘记录器(Keyloggers)或相似恶意软件。键盘记录器可能记录键盘输入内容并读取被该设施上的剪贴板数据,同时容许黑客窃取明码和其余未经受权拜访的信息。

MFA 比 2FA 更平安吗?

2FA 和 MFA 都是比单因素身份验证 (Single-factor Authentication, SFA) 更平安的身份验证模式,因为这两种身份验证形式不仅仅依赖于明码。而 MFA 则通常被认为比 2FA 更加平安,因为该验证模式通过更多重的因素来验证身份从而无效保障帐户平安。然而,MFA 解决方案的强度取决于其附加身份验证办法的安全性。

比方,电子邮件和短信验证码的安全性不如其余类型的身份验证,因为大量的网络钓鱼欺骗以及犯罪分子破解 SIM 卡的能力会带来额定的网络安全危险。当 MFA 依赖于用户独有且难以复制的生物特色认证因素时,MFA 最为无效。

正文完
 0