双因素身份验证(通常称为 2FA、两步验证、两步验证或双因素身份验证)是一种安全程序,要求帐户用户在授予用户访问权限之前以两种不同的方式验证其身份帐户。此过程是多因素身份验证的一种形式,需要五个普遍接受的身份验证因素中的两种形式。许多公司利用多因素身份验证 (MFA) 软件来实现这一目标。
双因素身份验证比单因素身份验证更安全,单因素身份验证通常是一个知识因素(用户知道的东西),例如用户名和密码。最常见的二次身份验证因素形式是通过 SMS 和电子邮件发送的一次性密码 (OTP),或从身份验证器应用程序或硬件令牌派生的一次性密码 (OTP)。
什么是双重身份验证?
双重身份验证的类型
五个普遍接受的身份验证因素是知识、拥有、固有、位置和行为。
- 知识:这个因素要求用户使用他们知道的东西进行身份验证。最常见的单因素身份验证是基于密码的身份验证。这被认为是不安全的,因为人们可能会使用弱密码或容易泄露的密码。
- 拥有:此身份验证因素要求用户使用他们拥有的东西进行身份验证。用户必须提供他们所拥有的信息,通常是由移动设备上的身份验证器应用程序提供的代码、SMS 或文本消息、软件令牌(软令牌)或硬件令牌(硬令牌)。提供的代码可以是在使用前不会过期的基于 HMAC 的一次性密码 (HOTP),也可以是在 30 秒内过期的基于时间的一次性密码 (TOTP)。
- 继承:这要求用户验证他们的身份。它考虑了用户独有的一些东西,例如生物特征因素。生物特征认证可以包括指纹扫描、手指几何、掌纹或手几何扫描以及面部指纹。随着移动设备上的生物特征登录(包括面部识别软件和指纹扫描功能)在消费者中越来越受欢迎,使用生物特征认证软件变得越来越普遍。其他生物特征认证方法,如耳形识别、声纹、视网膜扫描、虹膜扫描、DNA、气味识别、步态模式、静脉模式、手写和签名分析以及打字识别,尚未广泛商业化用于认证目的。
- 位置:位置因素要求用户验证他们的位置和时间。它考虑了用户的地理位置以及他们到达那里所花费的时间。这种形式的身份验证通常用于基于风险的身份验证软件中. 通常,这些认证方法不需要用户主动认证这些信息,而是在确定特定用户的认证风险时在后台运行。这种类型的身份验证验证用户的地理位置,它指向他们当前的位置,以及他们的地理速度,这是一个人前往给定位置所需的合理时间量。例如,如果用户通过芝加哥的 MFA 软件提供商进行身份验证,10 分钟后尝试从莫斯科进行身份验证,则存在安全问题。
- 行为:这个因素要求用户对他们所做的事情进行身份验证。它与用户生成的特定手势或触摸模式有关。例如,使用触摸屏,用户可以创建图片密码,在其中绘制圆圈、直线或点击图像以创建唯一的手势密码。
使用双重身份验证的好处
双重身份验证的好处是提高了帐户安全性。要求额外的身份验证步骤有助于确保只有授权用户才能登录并有权访问特定用户帐户。额外的验证有助于公司防止内部威胁(例如未经授权的员工)和外部威胁(例如黑客)访问受限帐户。双重身份验证的好处包括:
- 提高帐户安全性:双重身份验证的主要目的是提高帐户安全性。
- 简化的用户登录过程:使用双因素身份验证的第二个好处是简化了最终用户的登录体验。一些用户的密码管理习惯可能很差。允许用户以不需要密码的方式进行身份验证可以减少密码疲劳。
- 满足法规遵从性要求:全球许多数据保护法律要求公司采用强大的身份验证措施。采用 2FA 可以帮助公司满足这些要求。
使用双重身份验证的影响
几乎所有公司,尤其是技术公司,都需要某种形式的用户身份验证来访问软件、系统或其他安全资源。最常见的身份验证形式是单一因素,通常只有用户名和密码,已被证明是不安全的。这推动了在授予帐户访问权限之前需要两个身份验证因素的需求。
随着公司寻求变得更加安全,许多公司需要两个以上的身份验证因素,以创建真正的多因素身份验证过程。
两因素身份验证最佳实践
为了使双因素身份验证发挥作用,公司应遵循以下最佳实践:
- 确保向最终用户提供多种身份验证方法;使用两个相同类型的因素(例如两个知识挑战的两个密码)的身份验证不被视为双因素身份验证
- 确保公司使用的软件支持认证类型
- 确保考虑在线和离线身份验证的用例