基本介紹
- 中文名:多因素驗證
- 外文名:Multi-factor authentication
- 縮寫:MFA
- 性質:一種計算機訪問控制的方法
- 目的:提高安全性。
- 領域:密碼學
簡介,認證因素,知識因素,擁有因素,內在因素,手機兩步認證,概述,優點,缺點,安全,實施注意事項,
簡介
多重要素驗證的概念也廣泛套用於計算機系統以外的各領域。例如許多國家使用的自助出入境系統允許旅客不經人工檢查即可通過邊境檢查。使用時,通常需要旅行證件掃描、指紋、面部特徵三種要素結合來驗證身份。
雙重認證是多重要素驗證中的特例,只使用兩種認證機制。
認證因素
使用多個身份驗證因素來證明自己的身份是基於這樣的前提:未經授權的參與者不可能提供訪問所需的因素。如果在認證嘗試中至少有一個組件缺失或者提供的不正確,那么用戶的身份就沒有足夠的確定性,並且無法訪問被多因素認證保護的資產(例如建築物或數據),然後仍然受阻。多因素認證方案的認證因素可以包括:
- 用戶擁有的一些物理物體,例如帶有秘密令牌的隨身碟,銀行卡,鑰匙等。
- 用戶已知的一些密碼,例如密碼,PIN,TAN等。
- 用戶(生物識別技術)的某些身體特徵,例如指紋,眼睛虹膜,語音,打字速度,按鍵間隔中的模式等。
知識因素
知識因素是最常用的認證形式。在這種形式下,用戶需要證明秘密的知識才能進行認證。
一個密碼是一個秘密的單詞或用於用戶身份驗證字元的字元串。這是最常用的身份驗證機制。許多多因素認證技術依賴密碼作為認證的一個因素。變體包括由多個單詞構成的較長單詞(密碼)和通常用於ATM訪問的較短的,純數字的個人身份號碼(PIN)。傳統上,密碼有望被記住。
許多秘密問題,例如“你在哪裡出生?”是知識因素的一個不好的例子,因為它們可能被廣泛的人所了解,或者可以被研究。
擁有因素
擁有因素(“用戶和用戶擁有的東西”)已被用於數個世紀的認證,以鎖的鑰匙的形式。其基本原理是密鑰體現了鎖與密鑰之間共享的秘密,並且計算機系統中擁有身份驗證的原理也是一樣。安全令牌是占有因子的一個例子。
斷開的令牌
RSA SecurID令牌,一個下線的令牌生成器的示例。
斷開的令牌與客戶端計算機沒有連線。它們通常使用內置螢幕來顯示生成的身份驗證數據,該數據由用戶手動輸入。
連線的標記
連線令牌是設備被物理地連線到計算機中使用。這些設備自動傳輸數據。有許多不同的類型,包括讀卡器,無線標籤和USB令牌。
軟體令牌
軟體令牌(又名軟令牌)是一種類型的雙因素認證的安全裝置,其可被用於授權使用的計算機服務。軟體令牌存儲在通用電子設備(如台式計算機,筆記本電腦,PDA或行動電話)上,並且可以進行複製。(對比硬體令牌,其中證書存儲在專用硬體設備上,因此不能被複製(沒有物理入侵設備)。)
內在因素
這些是與用戶相關的因素,通常是生物指標方法,包括指紋識別器,視網膜掃瞄器或語音識別。
手機兩步認證
概述
手機兩步認證比單因素密碼保護更安全,但存在一些安全問題。手機可以克隆,應用程式可以在幾部手機上運行,手機維護人員可以閱讀簡訊文本。同樣重要的是,手機一般可能會受到影響,這意味著手機不再是用戶,只有他/她擁有。
認證的主要缺點包括用戶擁有的東西是用戶必須隨時隨身攜帶物理令牌(隨身碟,銀行卡,鑰匙或類似物)。丟失和盜竊是一種風險。由於惡意軟體和數據竊取風險,許多組織禁止在內部或外部攜帶USB和電子設備,而且由於相同原因,最重要的機器沒有USB連線埠。物理令牌通常不會擴展,通常需要為每個新帳戶和系統添加一個新令牌。採購並隨後替換這種令牌涉及成本。另外,在可用性和安全性之間存在固有的衝突和不可避免的折衷。
涉及行動電話和智慧型手機等設備的手機兩步認證提供一種可避免此類問題的替代方法。為了驗證他們自己,人們可以使用他們的個人訪問代碼(即只有個人用戶知道的東西)加上一次性有效的動態密碼,通常由4到6位數字組成。密碼可以通過簡訊或推送通知傳送到他們的移動設備,也可以通過一次性密碼生成器應用程式生成。在所有三種情況下,使用行動電話的優勢在於不需要額外的專用令牌,因為用戶總是隨時隨身攜帶移動設備。
截至2018年,簡訊是面向消費者賬戶最廣泛採用的多因素認證方法。儘管SMS驗證很受歡迎,但美國NIST已經將其作為一種認證形式譴責,安全倡導者已經公開批評它。
分別在2016年和2017年,谷歌和蘋果都開始提供帶推送通知的用戶兩步認證作為替代方法。
移動交付安全令牌的安全性完全取決於移動運營商的運營安全性,並且可以通過國家安全機構的竊聽或SIM卡克隆輕鬆突破。
優點
- 不需要額外的令牌,因為它使用了(通常)隨身攜帶的移動設備。
- 隨著它們不斷變化,動態生成的密碼比固定(靜態)登錄信息更安全。
- 取決於解決方案,已使用的密碼會自動替換,以確保有效的代碼始終可用;急劇的傳輸/接收問題不會阻止登錄。
缺點
- 用戶必須隨身攜帶手機,收取費用並保存在蜂窩網路的範圍內,無論何時需要驗證。如果手機無法顯示信息,例如手機損壞或關機以進行更新或由於極端溫度(如冬季暴露),則無需備份計畫就無法進行訪問。
- 用戶必須與提供商分享他們的個人移動號碼,減少個人隱私並可能允許垃圾郵件。
- 移動運營商可能會向用戶收取訊息收費。
- 簡訊可能無法即時傳送,從而為認證過程增加額外的延遲。
- 帳戶恢復通常繞過手機雙因素身份驗證。
- 現代智慧型手機既用於瀏覽電子郵件,也用於接收簡訊。電子郵件通常會一直登錄。因此,如果手機丟失或被盜,電子郵件是關鍵的所有帳戶都可能被黑客入侵,因為手機可能會收到第二個因素。所以智慧型手機將這兩個因素結合成一個因素。
- 行動電話可能被盜,可能使竊賊進入用戶賬戶。
- SIM卡克隆使黑客能夠訪問手機連線。針對移動運營商公司的社會工程攻擊導致將重複的SIM卡移交給犯罪分子。
安全
多重身份驗證可能對現代威脅無效,如網路釣魚和惡意軟體。
2017年5月,德國移動服務提供商O2Telefónica確認,網路犯罪分子利用SS7漏洞繞過基於SMS的兩步身份驗證,從未經授權的用戶銀行賬戶提款。犯罪分子首先感染賬戶持有人的電腦,試圖竊取他們的銀行賬戶憑證和電話號碼。然後,攻擊者購買了偽造的電信提供商,並為受害者的電話號碼重定向到由他們控制的手機。最後,攻擊者登錄了受害者的網上銀行賬戶,並要求將這些賬戶上的資金撤回到罪犯擁有的賬戶中。簡訊密碼被傳送到由攻擊者控制的電話號碼,罪犯將錢轉出。
實施注意事項
許多多因素認證產品要求用戶部署客戶端軟體以使多因素認證系統正常工作。一些供應商為網路登錄,Web訪問憑證和VPN連線憑證創建了單獨的安裝軟體包。對於這樣的產品,可能有四個五個不同的軟體程式包向下推到客戶端PC,以利用的令牌或智慧卡。這意味著需要執行版本控制的四個或五個軟體包以及四個或五個軟體包來檢查與業務應用程式的衝突。如果可以使用網頁操作訪問許可權,則可以將上述管理費用限制為單個應用程式。通過其他多因素身份驗證解決方案(如“虛擬”令牌和某些硬體令牌產品),最終用戶不得安裝任何軟體。
多因素身份驗證存在一些缺點,使許多方法不能普及。一些消費者難以跟蹤硬體令牌或USB插頭。許多消費者沒有自己安裝客戶端軟體證書所需的技術技能。一般而言,多因素解決方案需要額外的投資來實施維護和維護成本。大多數基於硬體令牌的系統都是專有的,一些供應商每個用戶收取年費。硬體令牌的部署在邏輯上具有挑戰性。硬體令牌可能會被損壞或丟失並且發放令牌在銀行業甚至大型企業等大型行業都需要進行管理。除了部署成本之外,多因素認證通常會帶來顯著的額外支持成本。Credit Union Journal在2008年對120多個美國信用合作社進行的一項調查報告了與雙因素認證相關的支持成本。據報導,軟體證書和軟體工具列方法支持成本最高。
