什么是双向认证(2FA)

• By SMSPool Admin
• January 12, 2024
• Information

双向认证是什么(2FA),为何重要?.

2FA或Two-Factor认证是一个安全过程,用户提供两种不同的认证因素来验证其身份. 也叫"两步验证",与单因子认证(SFA)相比,它增加了一层额外的安全层,而单因子认证仅依赖于密码或密码.

2FA通过要求用户提供密码(第一因子)和第二个独特的因子,如安全符或生物鉴别数据(指印或面部扫描)来增强安全. 这种分层次的双重方法,即使密码被泄露,也大大降低了未经授权访问的风险.

这种方法对保障用户资格和相关资源至关重要。 它被在线服务提供商所常用来防范密码数据库被破解和被打网球攻击,确保用户的设备和账户的安全级别更高.

什么是认证因素?

认证涉及使用各种方法确认身份。 大多数方法依赖于密码等知识因素. 2FA增加了占有或固有因素.

以下是常见的认证因素:

1. 知识因素 : 用户所知的信息,如密码或PINs.
2. 拥有因素 : 用户拥有的项目,如身份证,安全标志,或用于认证的智能手机.
3. 生物量因子(本位): 固有物理特征,如指纹,面部识别,或行为生物鉴别.
4. 位置因数 : 根据用户尝试的位置进行认证.
5. 时间因素 : 限制特定时间窗口的认证 。

两要素认证主要使用前三个因素. 更安全的系统可以执行多要素认证(MFA),具有两个或两个以上的加强安全的独立证书.

资料来源: https://www.techtarget.com/searchsecurity/definition/autentication-factor 互联网档案馆的存檔,存档日期2014-12-22.

2FA如何运作?

由两个因素组成的认证程序虽然在申请或供应商中的具体情况不同,但一般遵循这些步骤:

1. 登录提示 : 提醒用户登录应用程序或网站。
2. 输入证书 : 用户输入他们的用户名和密码,或者为他们生成一个独特的安全密钥.
3. 服务器验证 : 该网站的服务器验证输入的证书或处理生成的密钥.

启动第二步: 该网站促使用户进入第二个登录步骤,涉及的只是他们拥有或固有的特征,如生物鉴别技术。

可选的一次性代码 : 可能需要一次性代码,在第二步生成.

认证 : 通过提供这两个因素,用户得到认证,可以访问应用程序或网站。

2FA 认证的要素

二因子认证(2FA)是多因子认证(MFA)的一种. 当访问一个系统或服务需要两个不同的认证因素时使用. 值得注意的是,使用同一类的两个因素不符合2FA的条件;例如,密码和共享的秘密属于单因子认证(SFA),因为两者都属于知识因素.

2FA涉及三个潜在认证因素中的两个.

对于SFA服务,用户名和密码构成安全风险. 基于密码的认证需要强大的密码,这可能会对创建和记忆构成挑战. 它容易受到内幕威胁,如粗心地存储登录细节,以及被黑客野蛮武力攻击等外部威胁.

虽然密码由于其成本低而易于使用而很常见,但并不是最安全的. 与传统密码相比,多重挑战答复问题和独立生物鉴别核查方法提供了更好的安全。

资料来源: https://www.investopedia.com/terms/t/t/ twofactor-authentication-2fa.asp 互联网档案馆的存檔,存档日期2011-12-2.

双因素认证产品的类型

许多设备和服务便利了2FA,从信使和RFID卡到智能手机应用.

这些产品分为两类:

1. 用户登录的托肯 : 物理设备如密钥fobs或智能卡,或像移动/桌面应用软件生成一次性密码(OTP)等.
2. 用于认证的基础设施或软件: 识别和认证使用正确标识的用户。

认证码(OTP)是由服务器生成并链接到特定设备,用户,或账户的短序列. 这些代码是认证过程的关键部分,只使用过一次.

执行2FA需要有一个系统来根据用户的代号处理和管理用户访问. 这可以是服务器软件或专用硬件,包括第三方服务.

对于有效的2FA,用户访问必须与授权级别一致.

微软通过Windows 10中的Windows Hello为2FA提供基础设施支持,兼容微软账户,Microsoft Active Directory,Azure AD,或快IDentity Online(FIDO).

2FA 硬件托肯斯如何工作

硬件代号同"尤比凯"一样,提供了各种认证方法. YubiKey是来自Yubico Inc.的USB设备,支持OTPs,公用密钥加密,以及FIDO联盟的Universal 2Factor协议.

是这样的:

1. 登录

• 用户将其"YubiKey"插入USB端口.
• 输入 Gmail 、 GitHub 或 WordPress 等服务的密码 。
• 在 YubiKey 字段中点击并触摸 YubiKey 按钮 。

2. 检察官办公室的组建

• YubiKey生成44个特征的OTP,前12个是代表安全密钥的独特ID.

其余32个字符使用仅为设备和Yubico服务器所知的密钥加密.

3. 认证检查

• 检察官办公室被派往尤比克进行认证。
• 尤比克验证了检察官办公室 并证实这是用户的正确标志

这个双因子认证(2FA)涉及密码(知识因子)和YubiKey(占有因子),确保安全获得在线服务.

资料来源: https://duo.com/出品/多要素-认证-mfa/ 二要素-认证-2fa

移动设备双向认证

智能手机为公司提供多种2FA选项,包括指纹识别,面部/iris扫描,语音识别,以及定位验证的GPS等. 语音或短消息可以作为波外认证渠道.

要点:

1. 信任的电话号码

• 核查码通过文本或自动电话发送给信任的电话号码。
• 用户必须至少验证一个可信任的手机2FA注册电话号码.

2. 平台支助

• Apple iOS,Google Android,和Windows 10都有2FA支持应用程序.
• Duo Security现由思科公司拥有,提供验证用户和移动设备可信赖性的平台.

3. 认证程序

• 用应用生成的六位数取代传统的验证方法.
• 数字每30秒变化一次,增强安全性并证明设备拥有.

4. 最低制度要求

• 各种2FA产品提供关于系统实施要求的信息.

5. 生物计量认证

• 移动设备越来越多地采用生物鉴别认证方法。

这一系列的选项允许公司选择适合其需要的2FA方法.

按下2FA 的通知

Push通知通过向用户的安全应用发送直接通知,提醒他们认证尝试,从而提供无密码认证. 用户可以审查细节,批准或拒绝使用单一的自带. 如果批准,服务器将把用户登录入网络应用.

要点:

1. 认证程序

• Push通知通过确认所注册设备(通常为移动设备)的拥有来验证用户.

2. 安全福利

• 减轻威胁,如"人入"攻击,未经许可进入,以及社会工程.

3. 安全风险

• 尽管加强了安全,但用户可能会因习惯而意外批准欺诈性请求。

通过将设备拥有与认证联系起来来推进通知增强安全性,降低与未经授权访问相关的风险.

双向认证安全吗?

虽然两要素认证可以加强安全,但其实力依赖于最薄弱环节。 例如,硬件符号的安全取决于发行人或制造商. 值得注意的是,登记册系统管理人安全在2011年面临一个引人注目的案件,其安全ID标志被破坏。

账户回收程序可能构成风险,有可能绕过2FA. 在Cloudflare的CEO通过这种方法 黑了他们的生意 Gmail

以短信为基础的2FA尽管具有成本效益并方便用户,但仍面临脆弱性。 国家标准和技术研究所(NIST)在2FA中劝阻短消息的使用,因为如"特别出版物800-63-3:数字身份准则"所概述,容易被手机号码可移植性,网络攻击和恶意软件拦截等攻击.

认证的未来

需要高度安全的环境探索了三要素认证,将物理符和密码与指纹或语音指纹等生物鉴别技术相结合. 地理定位、设备类型和用户认证中的时间辅助因素。 行为生物鉴别学,监测按键和鼠标运动,提供连续的实时认证.

由于对安全和用户经验的关切,仅仅依靠密码已经过时。 无密码认证,使用生物鉴别和安全协议,允许安全访问而无需输入密码. 板链,特别是分散式或自主权身份,作为传统认证方法的替代方法而得到关注.

重新思考短消息检察官办公室和创新解决方案

在不断发展的数字领域,曾经被广泛接受的短信办公室目前正在处理不断升级的脆弱性,如SIM交换和社会工程。 这些挑战突出表明,迫切需要有安全的替代办法,解决传统认证方法的缺陷。

在与简讯办公室有关的安全风险和所涉经费问题方面,向探索更强有力的替代办法的转变日益突出。 检察官办公室是一个令人信服的选择,利用端到端加密提供成本效益高和安全的解决办法。 此外,社会登录等替代办法和新出现的标准,如WebAuthn/FIDO/Passkey,提供了方便的选择,为用户和企业在不断演变的网络威胁面前提供可行的替代办法。

随着企业通向在线安全环境,采用安全的替代办法变得至关重要。 诸如WhatsApp OTP等解决方案的加密和成本效益,以及社会登录和新出现的标准,为传统的短信OTP提供了可靠的替代品。 拥抱这些替代品不仅能增强安全性,还能确保用户体验无缝,与在线认证的动态性质相配合.

资料来源:

https://fazpass.com/blog/authentication/sms-otp-vulnerability/ (中文(简体) ).

SMSPool:一种安全而活泼的替代品

在在线安全领域,SMSPool等创新解决办法提供了多种认证方法,为传统方法提供了安全的替代办法。 SMSPool作为临时短信提供者,处理加强身份保护的需要,特别是在不需要维持永久SIM卡的情况下。

SMSPool从安全数据中心运行,提供全球专用电话号码,确保隐私和安全。 服务按数字分别出售服务的做法保证了排他性,减轻了妥协的风险。 SMSPool通过与经过认真审查的供应商使用物理调制解调器,确保了电话号码的合法和安全来源。 租用电话号码的选择进一步确保了持续控制,消除了因不活动而与重新发送有关的风险。

对于希望从SMSPool开始的用户来说,这一过程是直截了当的. 注册后,用户可以探索提供小费和花招的文章,做起一首押金,并顺利地接通订单页. 无论是一次性短信验证还是长期解决方案,SMSPool在整个认证行程中都优先关注安全和用户隐私.

资料来源:

https://www.SMSPool.net/article/What-is-SMSPool-和-What-do-they-do-do-bcf3497d4b 互联网档案馆的存檔,存档日期2013-12-22.

Return to knowledgebase