跳转到主要内容

双重认证

本文约需 2 分钟阅读

两步验证 (2FA) 是一种安全方法,它在密码验证的基础上再组合另一个不同的验证要素,以防止账户被未授权访问。即使密码泄露,没有第二个验证要素也无法登录,因此账户的安全性会大幅提升。根据微软 2024 年的调查,启用两步验证的账户可以阻止 99.9% 以上的未授权访问。

历史背景

两步验证的概念可追溯到 1980 年代的银行 ATM。银行卡 (所持信息) 与密码 (知识信息) 的组合,是最早期的双因素认证实现示例。随着互联网的普及, 2000 年代在网上银行中引入了一次性密码令牌。进入 2010 年代后,谷歌为 Gmail 引入了两步验证,加速了其在普通用户中的普及。如今,在 FIDO Alliance 推动的通行密钥技术下,向更安全、更易用的认证方式的迁移正在推进。

认证的三大要素

认证要素大致分为三类。“知识信息”是只有本人才知道的信息,例如密码或 PIN 码。“所持信息”指只有本人才持有的物理设备,例如智能手机或安全密钥。“生物信息”利用本人的身体特征,例如指纹或人脸识别。两步验证会从中组合两个不同的要素来进行身份验证。

对于希望系统性地学习认证技术基础的人,安全认证相关书籍 (Amazon)也很有参考价值。

两步验证与多因素认证的区别

两步验证 (2FA) 与多因素认证 (MFA) 容易被混淆,但严格来说二者不同。两步验证意味着认证步骤有两次,即使是同一类型的要素 (例如:密码 + 安全问题) 也能成立。而多因素认证则要求组合不同类型的要素 (知识 + 所持、知识 + 生物等)。从安全角度看,组合不同类型要素的多因素认证更为稳固。在实务中,即使被称为“两步验证”,实际上大多也是以多因素认证的形式实现的。

主要的认证方式

最普及的方式是通过短信或邮件发送的一次性密码 (OTP)。不过,由于短信存在 SIM 卡交换攻击的风险,使用 Google Authenticator 或 Authy 等认证应用的 TOTP (基于时间的一次性密码) 方式被认为更安全。如果追求更高的安全性,推荐使用 YubiKey 等硬件安全密钥的 FIDO2/WebAuthn 方式。

现场使用案例

“在全公司强制实行两步验证后,经由钓鱼的未授权登录同比减少了 95%。尤其是引入了 FIDO2 安全密钥的部门,事件数已降为零。”

认证流程

输入 ID 和密码
验证第一要素
请求 OTP / 安全密钥
验证第二要素
登录成功

实务中的陷阱

引入两步验证时常见的误解是认为“短信验证就足够了”。短信的通信路径未加密,存在被 SIM 卡交换攻击或被利用 SS7 协议漏洞的风险。请尽可能选择认证应用或硬件密钥。此外,恢复码的管理也很重要。为防备设备丢失或故障,如果不把恢复码保管在安全的地方,就可能落到把自己锁在账户之外的境地。将用 passtsuku.com 生成的强密码与两步验证相结合,就能多层次地加强账户的安全性。

关于两步验证的设置方法,以及多因素认证实践指南 (Amazon),实现更安全的在线生活。

相关术语

这篇文章对您有帮助吗?

XHatena