複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/多因素驗證/22657576
複製
複製成功

多因素驗證

鎖定
多重要素驗證(英語:Multi-factor authentication,縮寫為 MFA),又譯多因子認證、多因素驗證、多因素認證,是一種計算機訪問控制的方法,用户要通過兩種以上的認證機制之後,才能得到授權,使用計算機資源。例如,用户要輸入PIN碼,插入銀行卡,最後再經指紋比對,通過這三種認證方式,才能獲得授權。這種認證方式可以提高安全性。
中文名
多因素驗證
外文名
Multi-factor authentication
縮    寫
MFA
性    質
一種計算機訪問控制的方法
目    的
提高安全性。
領    域
密碼學

目錄

  1. 1 簡介
  2. 2 認證因素
  3. 知識因素
  4. 擁有因素
  1. 內在因素
  2. 3 手機兩步認證
  3. 4 優點
  4. 5 缺點
  1. 6 安全
  2. 7 實施注意事項

多因素驗證簡介

多重要素驗證的概念也廣泛應用於計算機系統以外的各領域。例如許多國家使用的自助出入境系統允許旅客不經人工檢查即可通過邊境檢查。使用時,通常需要旅行證件掃描、指紋、面部特徵三種要素結合來驗證身份。
雙重認證是多重要素驗證中的特例,只使用兩種認證機制。 [1] 

多因素驗證認證因素

使用多個身份驗證因素來證明自己的身份是基於這樣的前提:未經授權的參與者不可能提供訪問所需的因素。如果在認證嘗試中至少有一個組件缺失或者提供的不正確,那麼用户的身份就沒有足夠的確定性,並且無法訪問被多因素認證保護的資產(例如建築物或數據),然後仍然受阻。多因素認證方案的認證因素可以包括:
  • 用户擁有的一些物理物體,例如帶有秘密令牌的U盤,銀行卡,鑰匙等。
  • 用户已知的一些密碼,例如密碼,PIN,TAN等。
  • 用户(生物識別技術)的某些身體特徵,例如指紋,眼睛虹膜,語音,打字速度,按鍵間隔中的模式等。 [1] 

多因素驗證知識因素

知識因素是最常用的認證形式。在這種形式下,用户需要證明秘密的知識才能進行認證。
一個密碼是一個秘密的單詞或用於用户身份驗證字符的字符串。這是最常用的身份驗證機制。許多多因素認證技術依賴密碼作為認證的一個因素。變體包括由多個單詞構成的較長單詞(密碼)和通常用於ATM訪問的較短的,純數字的個人身份號碼(PIN)。傳統上,密碼有望被記住
許多秘密問題,例如“你在哪裏出生?”是知識因素的一個不好的例子,因為它們可能被廣泛的人所瞭解,或者可以被研究。 [1] 

多因素驗證擁有因素

擁有因素(“用户和用户擁有的東西”)已被用於數個世紀的認證,以鎖的鑰匙的形式。其基本原理是密鑰體現了鎖與密鑰之間共享的秘密,並且計算機系統中擁有身份驗證的原理也是一樣。安全令牌是佔有因子的一個例子。 [1] 
斷開的令牌
RSA SecurID令牌,一個斷開連接的令牌生成器的示例。
斷開的令牌與客户端計算機沒有連接。它們通常使用內置屏幕來顯示生成的身份驗證數據,該數據由用户手動輸入。
連接的標記
連接令牌是設備物理地連接到計算機中使用。這些設備自動傳輸數據。有許多不同的類型,包括讀卡器,無線標籤和USB令牌。
軟件令牌
軟件令牌(又名軟令牌)是一種類型的雙因素認證的安全裝置,其可被用於授權使用的計算機服務。軟件令牌存儲在通用電子設備(如台式計算機筆記本電腦PDA或移動電話)上,並且可以進行復制。(對比硬件令牌,其中證書存儲在專用硬件設備上,因此不能被複制(沒有物理入侵設備)。)

多因素驗證內在因素

這些是與用户相關的因素,通常是生物指標方法,包括指紋識別器,視網膜掃描儀或語音識別。 [1] 

多因素驗證手機兩步認證

手機兩步認證比單因素密碼保護更安全,但存在一些安全問題。手機可以克隆,應用程序可以在幾部手機上運行,手機維護人員可以閲讀短信文本。同樣重要的是,手機一般可能會受到影響,這意味着手機不再是用户,只有他/她擁有。
認證的主要缺點包括用户擁有的東西是用户必須隨時隨身攜帶物理令牌(U盤,銀行卡,鑰匙或類似物)。丟失和盜竊是一種風險。由於惡意軟件和數據竊取風險,許多組織禁止在內部或外部攜帶USB和電子設備,而且由於相同原因,最重要的機器沒有USB端口。物理令牌通常不會擴展,通常需要為每個新帳户和系統添加一個新令牌。採購並隨後替換這種令牌涉及成本。另外,在可用性和安全性之間存在固有的衝突和不可避免的折衷。
涉及移動電話和智能手機等設備的手機兩步認證提供一種可避免此類問題的替代方法。為了驗證他們自己,人們可以使用他們的個人訪問代碼(即只有個人用户知道的東西)加上一次性有效的動態密碼,通常由4到6位數字組成。密碼可以通過短信或推送通知發送到他們的移動設備,也可以通過一次性密碼生成器應用程序生成。在所有三種情況下,使用移動電話的優勢在於不需要額外的專用令牌,因為用户總是隨時隨身攜帶移動設備。
截至2018年,短信是面向消費者賬户最廣泛採用的多因素認證方法。儘管SMS驗證很受歡迎,但美國NIST已經將其作為一種認證形式譴責,安全倡導者已經公開批評它。
分別在2016年和2017年,谷歌和蘋果都開始提供帶推送通知的用户兩步認證作為替代方法。
移動交付安全令牌的安全性完全取決於移動運營商的運營安全性,並且可以通過國家安全機構的竊聽或SIM卡克隆輕鬆突破。 [2] 

多因素驗證優點

  • 不需要額外的令牌,因為它使用了(通常)隨身攜帶的移動設備。
  • 隨着它們不斷變化,動態生成的密碼比固定(靜態)登錄信息更安全。
  • 取決於解決方案,已使用的密碼會自動替換,以確保有效的代碼始終可用;急劇的傳輸/接收問題不會阻止登錄。 [2] 

多因素驗證缺點

  • 用户必須隨身攜帶手機,收取費用並保存在蜂窩網絡的範圍內,無論何時需要驗證。如果手機無法顯示信息,例如手機損壞或關機以進行更新或由於極端温度(如冬季暴露),則無需備份計劃就無法進行訪問。
  • 用户必須與提供商分享他們的個人移動號碼,減少個人隱私並可能允許垃圾郵件
  • 移動運營商可能會向用户收取消息收費。
  • 使用短信向手機發送文字短信是不安全的,可以被攔截。因此第三方可以竊取和使用令牌。
  • 短信可能無法即時傳送,從而為認證過程增加額外的延遲。
  • 帳户恢復通常繞過手機雙因素身份驗證。
  • 現代智能手機既用於瀏覽電子郵件,也用於接收短信。電子郵件通常會一直登錄。因此,如果手機丟失或被盜,電子郵件是關鍵的所有帳户都可能被黑客入侵,因為手機可能會收到第二個因素。所以智能手機將這兩個因素結合成一個因素。
  • 移動電話可能被盜,可能使竊賊進入用户賬户。
  • SIM卡克隆使黑客能夠訪問手機連接。針對移動運營商公司的社會工程攻擊導致將重複的SIM卡移交給犯罪分子。 [2] 

多因素驗證安全

據支持者稱,多因素認證可以大大減少在線身份盜竊和其他在線欺詐的發生率,因為受害者的密碼不足以讓竊賊永久訪問他們的信息。然而,許多多因素認證方法仍然容易受到網絡釣魚瀏覽器中的人和中間人攻擊的攻擊。
多重身份驗證可能對現代威脅無效,如網絡釣魚和惡意軟件。
2017年5月,德國移動服務提供商O2Telefónica確認,網絡犯罪分子利用SS7漏洞繞過基於SMS的兩步身份驗證,從未經授權的用户銀行賬户提款。犯罪分子首先感染賬户持有人的電腦,試圖竊取他們的銀行賬户憑證和電話號碼。然後,攻擊者購買了偽造的電信提供商,併為受害者的電話號碼重定向到由他們控制的手機。最後,攻擊者登錄了受害者的網上銀行賬户,並要求將這些賬户上的資金撤回到罪犯擁有的賬户中。短信密碼被髮送到由攻擊者控制的電話號碼,罪犯將錢轉出。 [3] 

多因素驗證實施注意事項

許多多因素認證產品要求用户部署客户端軟件以使多因素認證系統正常工作。一些供應商為網絡登錄,Web訪問憑證和VPN連接憑證創建了單獨的安裝軟件包。對於這樣的產品,可能有四個五個不同的軟件程序包向下推到客户端PC,以利用的令牌智能卡。這意味着需要執行版本控制的四個或五個軟件包以及四個或五個軟件包來檢查與業務應用程序的衝突。如果可以使用網頁操作訪問權限,則可以將上述管理費用限制為單個應用程序。通過其他多因素身份驗證解決方案(如“虛擬”令牌和某些硬件令牌產品),最終用户不得安裝任何軟件。
多因素身份驗證存在一些缺點,使許多方法不能普及。一些消費者難以跟蹤硬件令牌或USB插頭。許多消費者沒有自己安裝客户端軟件證書所需的技術技能。一般而言,多因素解決方案需要額外的投資來實施維護和維護成本。大多數基於硬件令牌的系統都是專有的,一些供應商每個用户收取年費。硬件令牌的部署在邏輯上具有挑戰性。硬件令牌可能會被損壞或丟失並且發放令牌在銀行業甚至大型企業等大型行業都需要進行管理。除了部署成本之外,多因素認證通常會帶來顯着的額外支持成本。Credit Union Journal在2008年對120多個美國信用合作社進行的一項調查報告了與雙因素認證相關的支持成本。據報道,軟件證書和軟件工具欄方法支持成本最高。 [3] 
參考資料
  • 1.    金斌, 周凱波, 馮珊. 多因素認證系統設計與實現[J]. 武漢理工大學學報, 2006, 28(7):101-104.
  • 2.    王化豐. 多因素認證系統的設計與實現[D]. 大連理工大學, 2005.
  • 3.    Brandom, Russell (July 10, 2017). "Two-factor authentication is a mess". The Verge. Retrieved July 10, 2017.