在双因素认证的心脏是不仅使用传统的捆绑“登录密码”,而且额外的保护水平 – 即所谓的第二个因素,占有这是必要的,以确认来访问的帐户或其他数据。
我们每个人经常遇到的双因素身份验证的最简单的例子是通过ATM提取现金。要获得金钱,您需要一张只有您自己的卡,以及只有您知道的PIN码。在获得您的卡后,攻击者无法在不知道PIN码的情况下提取现金,并且以相同的方式无法获得知道的钱,但没有卡。
通过双因素身份验证的相同原则,您可以在社交网络,邮件和其他服务中访问您的帐户。第一个因素是登录和密码的组合,而在第二个因素中,以下5个事项可以起作用。
短信代码
使用SMS代码进行确认非常简单。您和往常一样,输入您的登录名和密码,然后您的短信电话号码附带一个代码,您需要输入该代码才能登录您的帐户。这就是全部。下次登录时,会发送另一个SMS代码,仅对当前会话有效。
优点
- 每次登录时都会生成新代码。如果攻击者拦截您的登录名和密码,他们就无法在没有代码的情况下做任何事情。
- 抓住电话号码。没有您的手机,您无法进入。
缺点
- 如果没有蜂窝网络信号,您将无法登录。
- 理论上有可能通过运营商或通信沙龙员工的服务来改变号码。
- 如果您在同一设备(例如,智能手机)上获得授权并接收代码,则保护不再是双因素。
认证应用
本实施例在很大程度上类似于前面的一个,条件是,代替获得由SMS一个代码,他们使用的是特殊的应用(谷歌身份验证器,Authy)在设备上产生唯一的区别。在安装过程中,您会收到一个主键(最常见的 – 在一个QR码的形式),从与加密算法的帮助代唯一密码的30到60秒的有效期。即使我们假设攻击者能够拦截10,100,甚至1000的密码与他们的预测,这将是下一个密码,根本不可能。
优点
- 验证者不需要来自蜂窝网络的信号,在初始设置期间连接到Internet就足够了。
- 在一个验证器中支持多个帐户。
缺点
- 如果攻击者可以访问您设备上的主键或通过黑客攻击服务器,他们可以生成将来的密码。
- 在同一设备上使用验证器时,双因素将丢失。
使用移动应用验证登录信息
这种类型的认证可以称为了之前所有的的抓斗袋。在这种情况下,而不是请求代码,或一次性密码,必须确认与服务应用程序的移动设备输入。它存储在该设备的私钥,它是在每一个输入检查。它工作在Twitter的,Snapchat和各种网络游戏。例如,在一个网页版进入你的Twitter账号时,你输入登录名和密码,然后在智能手机上接收与输入的请求的通知,确认您的安全带在浏览器中打开之后。
优点
- 您无需在入口处输入任何东西。
- 独立于蜂窝网络。
- 在一个应用程序中支持多个帐户。
缺点
- 如果攻击者拦截了私钥,他们就可以冒充你了。
- 使用同一设备进入时,双因素身份验证的含义会丢失。
硬件令牌
物理(或硬件)令牌是双因素身份验证的最可靠方式。作为独立的设备,硬件令牌与上述所有方法不同,不会以任何方式丢失其双因素组件。大多数情况下,它们以USB密钥卡的形式呈现,并带有自己的处理器,可生成连接到计算机时自动输入的加密密钥。密钥的选择取决于具体的服务。例如,谷歌建议使用FIDO U2F代币,价格从6美元起不含运费。
优点
- 没有短信和应用程序。
- 无需移动设备。
- 它是完全独立的设备。
缺点
- 需要单独购买。
- 并非所有服务都支持。
- 使用多个帐户时,您必须携带一大堆令牌。
备份密钥
事实上,这不是一个单独的方法,而是智能手机丢失或被盗的备份选项,它带有一次性密码或确认码。在每个服务中配置双因素身份验证时,您将获得几个备份密钥,以便在紧急情况下使用。在他们的帮助下,您可以登录您的帐户,解开自定义设备并添加新设备。这些密钥应存储在安全的地方,而不是智能手机上的屏幕截图或计算机上的文本文件。
正如您所看到的,使用双因素身份验证有一些细微差别,但它们看起来很复杂。什么应该是理想的保护和方便比例,每个人都自己决定。但无论如何,当谈到支付数据的安全性或不是为其他人的眼睛而设的个人信息时,所有这些问题都是合理的。
如果可能并且有必要包括双因素身份验证以及它支持的服务,您可以在此处阅读。
