六種雙因素認(rèn)證方式的利與弊
譯文【51CTO.com快譯】您一定聽說過雙因素身份認(rèn)證的概念及其優(yōu)勢吧?它需要您輸入除了密碼以外的其他身份特征,并通過認(rèn)證的方式,才能解鎖并登陸您的在線帳戶。在實(shí)際應(yīng)用中,我們可以有多種方式來實(shí)現(xiàn)雙因素身份認(rèn)證。本文將和您一起探討各種雙因素身份認(rèn)證方式的優(yōu)缺點(diǎn),以方便您根據(jù)實(shí)際情況作出選擇。
雙因素身份認(rèn)證與兩步身份認(rèn)證
在開始深入討論之前,讓我們先花一點(diǎn)時(shí)間來厘清雙因素身份認(rèn)證和兩步身份認(rèn)證之間的區(qū)別。它們既有相似之處,又不盡相同。
雙因素身份認(rèn)證是使用兩種不同類型的認(rèn)證方式保護(hù)用戶的帳戶。也就是說,您必須提供下面三種要素中的兩種:
- 您知道什么:諸如密碼信息、或是安全問題的答案。
- 您擁有什么:例如,您持有智能手機(jī)、或是其他物理設(shè)備。
- 您是誰:諸如指紋或虹膜之類的身體特征。
因此,真正的雙因素身份認(rèn)證意味著您必須持有上述兩種不同的因素,才能通過認(rèn)證完成登錄。
而如果您的帳戶只是受到上述三種因素中同一種類型的兩個(gè)“鎖”的保護(hù),那只能稱為兩步身份認(rèn)證。例如:密碼信息和安全性問題的答案都是您所知道的,只是在身份認(rèn)證過程分為了兩個(gè)步驟,而不是兩個(gè)因素。雖然它相比單一密碼的保護(hù)效果較強(qiáng),但是仍然達(dá)不到雙因素身份認(rèn)證的效果。
下面我們來探討六種常見的雙因素認(rèn)證方式的優(yōu)缺點(diǎn):
方式1:安全問題
作為大家比較收悉的一種方式:我們在創(chuàng)建帳戶時(shí),可以選取一到多個(gè)安全問題,并事先為每個(gè)問題設(shè)置好相應(yīng)的答案。后續(xù)在使用該帳戶登錄的時(shí)候,我們必須針對每一個(gè)問題提供正確的答案,方可完成身份驗(yàn)證以及訪問授權(quán)。
(1) 安全問題的優(yōu)點(diǎn)
安全問題本身非常容易被設(shè)置。在大多數(shù)情況下,我們只需從一個(gè)下拉菜單中,選擇便于記憶且能夠給出確定回答的問題即可。而且我們不需要任何其他設(shè)備,畢竟那些答案就儲存在我們的腦海中。
(2) 安全問題的缺點(diǎn)
許多安全問題的答案很容易被推敲出來。例如:人們可以在公共記錄、或社交媒體上找到諸如:父親的姓氏、或是您所在的街道等的信息。也就是說,我們很容易通過社會工程(例如:網(wǎng)絡(luò)釣魚電子郵件或電話),意外地泄露此類敏感信息。
要解決安全問題的缺點(diǎn),您可以通過輸入亂碼,來有效地使其成為自己的“第二密碼”。當(dāng)然,您必須小心,以避免丟失或遺忘它們。因此,您可以適當(dāng)?shù)剡x用密碼管理器來予以保護(hù)。
方式2:短信或電子郵件
另一種常見的方式是:在您創(chuàng)建帳戶的時(shí)候,提供某個(gè)常用的手機(jī)號碼。而當(dāng)您再次登錄時(shí),系統(tǒng)會通過短信或電子郵件向您發(fā)送驗(yàn)證代碼。這是一個(gè)臨時(shí)的驗(yàn)證碼,它會在較短的時(shí)間內(nèi)(如:1~5分鐘)過期。因此,您必須及時(shí)將它輸入并提交,才能完成登錄。
(1) 短信郵件驗(yàn)證的優(yōu)點(diǎn)
只要您手頭有能夠接受短信或電子郵件的設(shè)備,便可在代碼發(fā)出后的幾分鐘之內(nèi)接收到。而且此類設(shè)備通常比較便宜。當(dāng)然,如果您丟失了該設(shè)備,通常也可以通過重發(fā)手機(jī)卡號等方式,從另一臺設(shè)備上繼續(xù)接收到相關(guān)的代碼信息。
(2) 短信郵件身份認(rèn)證的缺點(diǎn)
該方式的運(yùn)作前提是:您必須充分信任需要登錄的系統(tǒng)服務(wù)。也就是說,一些信譽(yù)不佳的服務(wù)提供商,可能會將您的電話號碼用于其他廣告營銷目的。另一方面,如果某個(gè)區(qū)域的移動網(wǎng)絡(luò)信號不佳、甚至沒有服務(wù)的話,您可能無法接收到相應(yīng)的登錄代碼。
此外,短信和電子郵件的通信信道不一定會被安全加密,因此一些技術(shù)高超的黑客可以扮演“中間人(MIM)”的角色,在無需接觸到接收設(shè)備的情況下,輕而易舉地以電磁攔截等方式獲悉代碼的具體內(nèi)容。
方式3:基于時(shí)間的一次性密碼(One-Time Password,OTP)
如上圖所示,如果有條件的話,我們可以使用身份認(rèn)證應(yīng)用程序(請參見: https://www.makeuseof.com/tag/5-best-alternatives-google-authenticator/),掃描某個(gè)包含密鑰的二維碼(QR)。據(jù)此,密鑰會被加載到該應(yīng)用之中,并生成定期變化的臨時(shí)密碼。你通過將該密碼輸入頁面,便可完成登錄所需的認(rèn)證。
(1) 一次性密碼的好處
在將帳戶添加入身份認(rèn)證應(yīng)用之后,您完全可以在移動網(wǎng)絡(luò)服務(wù)的情況下訪問它們。由于密鑰存儲在設(shè)備之中,因此不會像短信那樣被截獲。而且,如果您使用的是諸如Authy的身份認(rèn)證應(yīng)用,則可以在多個(gè)設(shè)備之間同步密碼,以有效地避免單一設(shè)備的局限性。
(2) 一次性密碼的缺點(diǎn)
如果手機(jī)電池的電量耗盡,那么您將無法訪問到驗(yàn)證碼(當(dāng)然短信的方式也有此局限性)。由于設(shè)備需要花時(shí)間來生成代碼,因此如果設(shè)備和服務(wù)之間的時(shí)鐘不同步的話,則會導(dǎo)致代碼的無效。這恐怕就是為什么我們需要始終將密碼打印服務(wù),作為一種緊急的備用登錄方式的原因。
雖然可能性很小,但是如果黑客以某種方式克隆了您的密鑰,那么他就可以隨意生成自己的有效代碼。而且,如果該登錄服務(wù)不限制登錄嘗試的失敗次數(shù)的話,那么黑客也可能會通過蠻力破解的方式,來窮舉您的帳戶密碼。
方式4:U2F鑰匙
通用雙因素(Universal 2nd Factor,U2F)是一種開放的標(biāo)準(zhǔn),可被用于USB設(shè)備、NFC設(shè)備、以及智能卡中。在身份認(rèn)證的過程中,您只需插入U(xiǎn)SB密鑰,碰一碰NFC設(shè)備、或是滑一下智能卡即可。
(1) U2F的優(yōu)點(diǎn)
作為一種真正獨(dú)立的物理介質(zhì),U2F鑰匙只要得到了妥善的保管,就不會被黑客進(jìn)行數(shù)字?jǐn)r截或重定向。與大多數(shù)雙因素方式不同,由于只對注冊過的賬戶生效,因此U2F鑰匙能夠有效地應(yīng)對網(wǎng)絡(luò)釣魚類攻擊。它可謂當(dāng)前最安全的雙因素身份認(rèn)證(2FA)方式之一。
(2) U2F的缺點(diǎn)
由于相對較新,因此U2F鑰匙的應(yīng)用范圍并不太廣泛。U2F鑰匙的另一個(gè)主要缺點(diǎn)是設(shè)備上的USB接口類型并不通用(請參見:https://www.makeuseof.com/tag/understanding-usb-cable-types-one-use/)。如果您擁有一個(gè)帶有USB-A接口的U2F鑰匙,那么在沒有適配器的情況下,它將無法被插到Android、iPhone或最新的MacBook上使用。
U2F鑰匙的起價(jià)為20美元左右。同時(shí)它提供了一種堅(jiān)固耐用的高級版。雖然高端的U2F鑰匙內(nèi)置了NFC,以方便您在移動設(shè)備上直接使用它們,但是其售價(jià)比較昂貴。
方式5:推送通知(Push Notification)
在某些平臺上,當(dāng)您輸入了密碼之后,會在設(shè)備上收到包含相關(guān)登錄嘗試通知的推送消息。您只需在設(shè)備上點(diǎn)擊批準(zhǔn)或拒絕,便可響應(yīng)請求。
(1) 推送通知的好處
推送通知顯然比先打開身份認(rèn)證應(yīng)用,再復(fù)制代碼的操作要方便得多。此類通知通常會包含有關(guān):誰在何種設(shè)備類型上,通過哪個(gè)IP地址,以及在哪里正在嘗試登錄等信息。這些通知類報(bào)警對于正在發(fā)生的惡意登錄嘗試,將十分及時(shí)且有效。
此外,由于推送通知能夠與您的手機(jī)綁定在一起,因此它巧妙地避開了黑客復(fù)制您的密碼,或竊取短信內(nèi)容的風(fēng)險(xiǎn)。當(dāng)然,我們也需要隨身攜帶著此類設(shè)備才能保證正常的登錄。
(2) 推送通知的缺點(diǎn)
與前面不同,推送通知的認(rèn)證方式要求您的手機(jī)設(shè)備能夠連接到互聯(lián)網(wǎng)上。也就是說:如果您沒有移動數(shù)據(jù)連接,且并未連接到Wi-Fi上的話,將無法收到推送過來的登錄提示。此外,在您忙碌或精神不集中時(shí),有可能會忽略推送中提示,或在未經(jīng)思考的情況下批準(zhǔn)了陌生的登錄驗(yàn)證請求。
方式6:生物識別(面部、語音或指紋)
面部識別、語音識別和指紋掃描都屬于生物識別的類型。它們往往被運(yùn)用在某些需要安全檢查的區(qū)域(例如:政府),以確定訪客的真實(shí)身份。
(1) 生物識別技術(shù)的優(yōu)勢
生物識別技術(shù)極難被破解。即使是最容易復(fù)制的指紋,也需要與指紋所有者進(jìn)行某種的物理接觸才能獲取。語音識別往往需要通過您的語音說出某段文字,而面部識別更是需要臉部上的多個(gè)特征點(diǎn)去比對已登記的樣本信息。
(2) 生物識別技術(shù)的缺點(diǎn)
人們在面對生物識別技術(shù)的時(shí)候,往往會心存顧慮,生怕此類“高科技”可能會對自己的某些器官造成損傷。同時(shí),他們也害怕這些與生俱來的生命特征,會被認(rèn)證技術(shù)采集后泄露出去,進(jìn)而給自己的生活造成巨大的困擾。
當(dāng)然,生物識別技術(shù)在面對多樣性的人體特征時(shí),也有可能產(chǎn)生“誤判”。此類錯(cuò)誤率往往和技術(shù)實(shí)現(xiàn)的成本及造價(jià)有著密切的關(guān)系。
多重身份認(rèn)證的選擇
綜上所述,各種雙因素身份認(rèn)證方式可謂各有利弊。究竟該如何取舍?其實(shí)還是取決于您的真實(shí)場景需求。在此,我們僅給出過往項(xiàng)目的經(jīng)驗(yàn)和建議:
- 如果是為了獲得最大的安全性和私密性,您可以選用U2F鑰匙。它們既不會被跟蹤,又不會泄露個(gè)人信息。不過您需要花錢購買U2F鑰匙,而且可能要隨身攜帶。
- 如果是為了方便起見,您最好選用短信或郵件。該方式雖然比單步身份認(rèn)證更快、更容易使用,但是您可能會碰到信號不佳,以及消息被截獲的潛在危險(xiǎn)。
- 如果想達(dá)到上述兩方面的平衡,您最好使用身份認(rèn)證應(yīng)用、以及基于時(shí)間的一次性密碼。不過,您必須小心地保留和備份機(jī)密性的代碼,以防止設(shè)備的丟失或損壞。您也可以使用Authy,在多臺設(shè)備上實(shí)現(xiàn)同步與登錄。
- 如果您想實(shí)時(shí)獲悉登錄的嘗試,則可以選用推送通知。當(dāng)然,您需要在確保使用的時(shí)候,具有穩(wěn)定的互聯(lián)網(wǎng)連接,并能夠認(rèn)真地查看推送過來的消息內(nèi)容。
原文標(biāo)題:The Pros and Cons of Two-Factor Authentication Types and Methods ,作者:Ben Stegner
【51CTO譯稿,合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】
