什么是双因素认证(2FA),它是如何工作的?

发布日期:2022-04-05 02:46

什么是双因素身份验证,为什么使用它?

双因素身份验证(2FA),有时称为两步验证指定身份验证,是用户提供两个不同的安全过程身份验证因素来验证自己。

实现2FA是为了更好地保护用户的凭证和用户可以访问的资源。双因素身份验证提供了比依赖于单因素身份验证的身份验证方法更高的安全级别(国家林业局),其中用户只提供一个因素——通常是密码或密码。双因素身份验证方法依赖于用户提供密码作为第一个因素和第二个不同的因素——通常是a安全令牌或者一个生物识别比如指纹或面部扫描。

双因素身份验证为身份验证过程增加了一层额外的安全,使攻击者更难访问用户的设备或在线账户,因为即使受害者的密码被黑客窃取,仅凭密码也不足以通过身份验证检查。

长期以来,双因素身份验证一直用于控制对敏感系统和数据的访问。越来越多的在线服务提供商使用2FA来保护用户的身份信息,防止黑客窃取或使用密码数据库网络钓鱼获取用户密码的活动。

什么是认证因素?

有几种方法可以使用多个身份验证方法对某人进行身份验证。目前,大多数认证方法都依赖于知识因素,如传统的密码,而双因素认证方法要么增加占有因素,要么增加内在因素。

认证因素大致按采用顺序列出,包括:

  • 一个知识因素用户是否知道某些东西,例如密码、个人识别号码或其他类型的密码共享的秘密
  • 一个占有的因素是用户拥有的用于批准认证请求的东西,比如身份证、安全令牌、手机、移动设备或智能手机应用程序。
  • 一个生物因素,也称为an内在因素,是用户身体自我中固有的东西。这些可能是物理特征映射的个人属性,例如通过指纹阅读器验证的指纹。其他常用的内在因素包括面部和声音识别或行为的生物识别技术,如击键力学步态或语言模式。
  • 一个地理位置因素通常由正在进行身份验证尝试的位置表示。可以通过将身份验证尝试限制在特定位置的特定设备,或根据源Internet协议地址或其他一些地理位置信息(如全球定位系统(全球定位系统(GPS))数据,源自用户的移动电话或其他设备。
  • 一个时间因素将用户身份验证限制在允许登录的特定时间窗口,并限制对该窗口之外的系统的访问。

绝大多数双因素身份验证方法依赖于前三个身份验证因素,不过需要更高安全性的系统可能会使用它们来实现多因素身份验证(MFA),它可以依赖两个或多个独立凭据,以获得更安全的身份验证。

双因素身份验证是如何工作的?

是否启用双因素身份验证取决于特定的应用程序或供应商。然而,双因素认证过程涉及相同的通用多步骤认证过程:

  1. 应用程序或网站会提示用户登录。
  2. 用户输入他们知道的内容——通常是用户名和密码。然后,网站的服务器找到匹配并识别用户。
  3. 对于不需要密码的进程,网站会为用户生成一个唯一的安全密钥。身份验证工具处理密钥,站点的服务器对其进行验证。
  4. 然后,站点提示用户启动第二个登录步骤。虽然这一步可以采取多种形式,但用户必须证明他们拥有只有自己才会拥有的东西,比如生物识别技术、安全令牌、身份证、智能手机或其他移动设备。这就是内在或占有因素。
  5. 然后,用户可能必须输入在步骤4中生成的一次性代码。
  6. 在提供这两个因素之后,对用户进行身份验证并授予对应用程序或网站的访问权。

双因素身份验证的元素

双因素身份验证是MFA的一种形式。从技术上讲,每当需要两个身份验证因素才能访问系统或服务时,就会使用这种方法。然而,使用同一类别中的两个因素并不构成2FA。例如,需要密码和共享秘密仍然被认为是SFA,因为它们都属于知识身份验证因子类型。

描述2FA的两个因素的插图 2FA涉及三个潜在身份验证因素中的两个。

就SFA服务而言,用户名和密码并不是最安全的。基于密码的身份验证的一个问题是,创建和记住强密码需要知识和勤奋。密码需要保护,以防止许多内部威胁,如不小心存储的登录凭证便利贴,旧的硬盘驱动器和社会工程漏洞。密码还会受到外部威胁,比如黑客使用蛮力破解、字典或彩虹表攻击。

只要有足够的时间和资源,攻击者通常可以攻破基于密码的安全系统,窃取企业数据。密码仍然是最常见的SFA形式,因为其成本低、易于实现和熟悉。

多个质询-响应问题可以提供更多的安全性,这取决于它们是如何实现的,而独立的生物特征验证方法也可以提供更安全的SFA方法。

双因素身份验证产品的类型

实现2FA有许多不同的设备和服务——从令牌到无线电频率识别(射频识别)卡片到智能手机应用程序。

双因素认证产品可分为两大类:

  1. 用户登录时使用的令牌;和
  2. 能够识别和验证正确使用令牌的用户的访问权限的基础设施或软件。

身份验证令牌可以是物理设备,例如关键的作战基地智能卡,或者它们可能存在于软件中,作为移动或桌面应用程序,生成身份验证的PIN码。这些身份验证码又称一次性密码otp),认证码通常由服务器生成,可被认证设备或应用程序识别为可信。认证码是连接到特定设备、用户或帐户的短序列,作为认证过程的一部分,只能使用一次。

组织需要部署一个系统来接受、处理和允许或拒绝使用令牌进行身份验证的用户的访问。它可以以服务器软件或专用硬件服务器的形式部署,也可以由第三方供应商提供服务。

2FA的一个重要方面是确保通过身份验证的用户能够访问所有被批准的资源,并且只能访问那些资源。因此,2FA的一个关键功能是将身份验证系统与组织的身份验证数据连接起来。微软为组织提供了一些必要的基础设施来支持Windows 10中的2FAWindows你好,可以使用微软帐户进行操作,也可以通过微软活动目录、Azure AD或快速在线身份认证(菲多).

2FA硬件令牌是如何工作的

2FA的硬件令牌支持不同的身份验证方法。一个流行的硬件代币是YubiKey,是一个小型的通用串行总线(USB)设备,支持OTPs、公钥加密和认证,以及通用二因素FIDO联盟制定的协议。YubiKey代币由总部位于加州帕洛阿尔托的Yubico Inc.出售。

当用户使用YubiKey登录支持OTPs的在线服务时,如Gmail、GitHub或WordPress,他们将YubiKey插入设备的USB端口,输入密码,点击YubiKey字段并触摸YubiKey按钮。YubiKey生成一个OTP,并将其输入该字段。

OTP是一个44个字符的一次性密码;前12个字符是一个唯一的ID,表示在帐户中注册的安全密钥。其余的32个字符包含的信息是使用一个密钥加密的,只有设备和Yubico的服务器知道,建立在初始帐户注册期间。

OTP从在线服务发送到Yubico进行认证检查。一旦OTP被验证,Yubico身份验证服务器返回一条消息,确认这是该用户的正确令牌。2 fa是完整的。用户提供了两种身份验证因素:密码为知识因素,YubiKey为占有因素。

移动设备的双因素身份验证

智能手机提供了多种2FA功能,使企业能够使用最适合自己的功能。一些设备可以识别指纹,使用内置摄像头进行面部识别或虹膜扫描,使用麦克风进行语音识别。另外,配备GPS的智能手机还可以确认位置。语音或短消息服务(SMS)也可以作为一个通道带外认证

一个可信的电话号码可以通过短信或自动电话来接收验证码。用户必须验证至少一个可信的电话号码才能注册移动2FA。

苹果iOS,谷歌安卓和Windows 10都有支持2FA的应用程序,使手机本身作为物理设备来满足拥有因素。总部位于密歇根州安娜堡的Duo Security公司。该公司于2018年以23.5亿美元的价格被思科(Cisco)收购。该公司拥有一个平台,可以让客户使用他们信赖的2FA设备。Duo的平台首先确定用户是可信的,然后再验证移动设备也可以作为认证因素被信任。

Authenticator应用程序取代了通过文本、语音通话或电子邮件获取验证码的需要。例如,访问支持的网站或基于web的服务谷歌身份验证,用户输入他们的用户名和密码——一个知识因素。然后,系统会提示用户输入一个六位数的数字。而不是等待几秒钟来接收短信,身份验证者为他们生成号码。这些数字每30秒改变一次,每次登录都不一样。通过输入正确的号码,用户完成验证过程并证明拥有正确的设备——所有权因素。

这些和其他2FA产品提供了实现2FA所需的最低系统要求的信息。

移动2FA的生物特征因子视觉 生物认证已经成为移动设备上越来越受欢迎的选择。

2FA的推送通知

推送通知是无密码认证它通过直接向用户设备上的安全应用程序发送通知来验证用户,提醒用户正在进行认证尝试。用户可以查看身份验证尝试的详细信息,并批准或拒绝访问——通常只需点击一下。如果用户批准了认证请求,服务器就会接收到该请求,并将用户登录到web应用中。

推送通知通过确认在认证系统中注册的设备(通常是移动设备)是由用户拥有的来验证用户。如果攻击者入侵设备,推送通知也会被入侵。推送通知消除了以下威胁中间人攻击、未经授权的访问和社会工程攻击。

虽然推送通知比其他认证方式更安全,但仍存在安全风险。例如,用户可能会不小心批准欺诈性的身份验证请求,因为他们习惯于监听批准当他们收到推送通知时。

双因素身份验证安全吗?

虽然双因素身份验证确实提高了安全性,但2FA方案的安全性仅取决于其最薄弱的部分。例如,硬件令牌依赖于发行者或制造商的安全性。最引人注目的双因素系统受损案例之一发生在2011年,当时保安公司RSA安全报道称其SecurID认证令牌被黑客攻击。

帐户恢复过程本身也可能被破坏,当它被用来击败双因素身份验证,因为它经常重置用户的当前密码和电子邮件的临时密码,允许用户再次登录,绕过2FA进程。Cloudflare首席执行官的商业Gmail账户就是以这种方式遭到黑客攻击的。

虽然基于sms的2FA价格低廉,易于实现,而且用户友好,但它容易受到大量攻击。美国国家标准与技术学会(NIST)在其特别刊物800-633-3:数码身份指引中,建议在2FA服务中使用短讯。NIST的结论是,通过短信发送的OTPs过于脆弱,因为移动电话号码携带攻击,对移动电话网络的攻击,以及可以用来拦截或重定向文本信息的恶意软件。

未来的认证

需要更高安全性的环境可能会感兴趣三因子认证这通常包括拥有一个物理标记和一个与指纹扫描或声纹等生物特征数据一起使用的密码。地理位置、设备类型和时间等因素也被用来帮助确定用户是否应该被认证或阻止。此外,行为生物特征识别器,如用户的击键长度、打字速度和鼠标移动,也可以被谨慎地实时监控,以提供连续的身份验证,而不是在登录时进行单一的一次性身份验证检查。

依靠密码作为主要的身份验证方法虽然很常见,但通常不再提供公司及其用户所需要的安全性或用户体验。而且,尽管密码管理器和MFA等传统安全工具试图处理用户名和密码问题,但它们依赖于一种本质上过时的体系结构:密码数据库。

因此,许多组织正在转向无密码身份验证。使用生物识别和安全协议等方法,用户可以在他们的应用程序中安全地验证自己,而无需输入密码。在企业中,这意味着员工无需输入密码就可以访问他们的工作,而且IT仍然对每次登录保持完全控制。例如,通过分散身份或自主身份使用区块链,作为传统身份验证方法的替代方法,也受到了越来越多的关注。

分享到: