雙因子認證(2FA)是指結合密碼以及實物(信用卡、SMS手機、令牌或指紋等生物標誌)兩種條件對用戶進行認證的方法。
基本介紹
- 中文名:雙因子認證機制
- 定義:結合密碼以及實物對用戶進行認證
- 隱含成本:低
- 方式:使用額外的障礙
雙因子認證(2FA)是指結合密碼以及實物(信用卡、SMS手機、令牌或指紋等生物標誌)兩種條件對用戶進行認證的方法。這種方法已經為企業所採用,特別是在遠程訪問時,但在其它領域套用還很有限。雙因子認證的推廣之所以受阻,主要在於其需要使用額外的工具並且為IT和技術支持人員帶來負擔。其批評者還指出這種方法也容易遭受攻擊,即在非常小的時間視窗內,易受到中間人(man-in-the-middle)攻擊(這也是採用嚴格SSL處理的更多原因)。除了這些障礙以外,實際上現在我們已經開始認識到,不採用雙因子認證所帶來的隱含成本遠遠比採用雙因子認證所需要的成本高得多。受到歐洲銀行業的影響,以及欺詐行為帶來的成本不斷增加,美國金融機構將加快採用雙因子認證的步伐,這一行動將會促使消費者更快習慣這一方法。為減輕必須攜帶專用雙因子令牌設備所帶來的阻力,可以利用現在無處不在的移動計算平台(如支持Java的手機或通過簡訊息服務傳遞的一次性口令)作為雙因子客戶平台。同時,就象欺詐帶來的成本促使銀行業採用雙因子認證一樣,這也是電子商務企業採用雙因子認證的主要動力,電子支付行業團體,如PCI和APACS已經開始強制使用雙因子認證。這一機制很快將會成為認證領域的通用作法,不久以後我們就會對僅僅採用密碼認證的系統產生強烈的不信任感。
一般來說,在安全方面必須接受這樣一個事實:並不存在任何形式的硬體或軟體能夠提供萬能的安全解決方案。但這並不妨礙採取相應的安全措施:大門上的鎖對“敲鎖法”來說可能並不安全,而大門本身也耐不住斧頭、鋸子、火把或炸藥的攻擊,但即使這樣你仍然不會因為安全系統不完美而始終大門敞開,或者根本不上鎖。實際上,多採取一些安全措施會在攻擊者和保護者之間的這場戰鬥中為我們增加一些勝算。當然,前提是這些措施是有效的,否則會造成一種虛假的安全感,反而會使事情惡化,因為用戶會因此而警惕性變低。認識到這一點,最好的方式可能是改變遊戲的規則,集中精力使數據竊取型犯罪不那么有利可圖。