2FA背后的理念简单易懂。现在就来了解关于2FA的所有信息,包括它们的工作原理和实施方法。
你可能已经看到过,你注册的一些网络服务会建议你设置双因素认证(简称2FA)。对于某些服务,这是你必须采取的步骤,以继续使用他们的服务。
对于其他服务,这只是一个可选项。尽管如此,许多互联网用户并不了解2FA设置是什么,它的目的是什么,以及为什么需要进行这些步骤。有趣的是,2FA可以增强你的账户安全,使得仅拥有你密码的人无法造成危害。在本指南中,我将讨论关于2FA安全选项的所有信息。
什么是双因素认证(2FA)?
简单来说,双因素认证(2FA)是一种多因素认证(MFA),旨在为你的在线账户增加一个额外的安全层,超越传统的单因素认证(SFA),如用户名和密码。这里的理念是使用两种认证方法,使得黑客无法仅通过一种认证方法就访问你的账户。
如果没有2FA,当你的用户名和密码被泄露时,黑客就能访问你的账户。然而,如果你配置了2FA,在输入用户名和密码后,服务会要求进行另一个级别的认证,这个认证不容易被攻破,这样就拒绝了对你账户的访问。
2FA的结构分析
现在你已经了解了什么是双因素认证(2FA),接下来需要了解是什么使得认证成为双因素。一般来说,2FA系统有两个部分——第一个是知识因素或认证,第二个可以是持有因素(如你拥有的智能手机)或生物识别因素(可以从你身上推断出的东西)。
知识因素或认证
要完成2FA,必须有一个知识因素。这基本上是第一种认证方法,也是你所知道的(知识因素)。它可以是用户名和密码或个人识别号码(PIN)。也可以是你和网络服务都知道的共享秘密。
在单因素认证中,这就足以访问账户。然而,这存在一个固有问题——它很容易被攻破——任何知道它的人都可能访问该账户。这就引出了第二个认证层。
第二个认证层(持有因素或生物识别因素)
第二个认证层是额外的安全级别,通常是只有你拥有的东西(持有因素)或从你身上推断出的细节(生物识别)。根据这个定义,安全问题不适合作为2FA,因为它存储在网络服务器上,同样容易被攻破。
相反,完善的第二个认证层是通过你的电子邮件、电话号码或你使用的应用程序发送的令牌。在某些行业,如银行业,提供硬件令牌,通过它你可以获得用于认证交易的令牌。在其他情况下,第二个登录系统将是生物识别性质的。
双因素认证如何工作
2FA的工作流程简单,并遵循一个通用模式。然而,根据实施它的网络服务,步骤上会有一些小的变化。以下是2FA的一般工作流程。
1. 用户使用知识因素登录他们的在线账户,这在大多数情况下是用户名和密码。在一些不太常见的系统和网站中,你可能使用访问令牌或PIN,仅此就足以证明你是用户。
2. 系统在数据库中检查,验证用户名/密码或输入的认证信息是否属于已注册用户且输入的详细信息是否正确。
3. 如果输入的详细信息正确且用户没有任何未解决的问题,他将进入第二个认证阶段。在这个阶段,你需要证明你拥有某些东西,这可以是你的手机号码、智能手机、硬件设备(令牌)或生物识别信息。
4. 对于手机号码或智能手机,会发送一个令牌,你需要将其提供给网络服务以证明你有访问权限。例如,如果你登录一个以前未登录过的Google账户,会向你的YouTube应用或其他Google应用发送一个代码——这是一个经典的2FA案例,你甚至可能没有意识到。在银行的情况下,他们会将一次性密码(OTP)发送到硬件令牌设备或你需要提供的软件中。
5. 如果用户提供了代码,系统会检查并验证,只有在正确的情况下才会授予用户访问权限。
以上是双因素认证的经典工作方式。需要注意的是,与用户名和密码在更改前保持不变不同,2FA的令牌是一种一次性密码(OTP),第一次使用后即失效。在大多数2FA中,令牌还有一个有效期,因为有些令牌仅在5分钟内有效。
双因素认证的类型
不同的网络服务使用不同类型的双因素认证(2FA)。每种类型都有其优缺点,服务所使用的类型取决于该网络服务希望用户账户受到的保护程度。让我们来看看其中的一些类型。
通过消息发送的一次性密码(OTP)
目前使用最广泛的2FA类型是一次性密码(OTP),许多网络用户对此非常熟悉。通过这种方式,用户会收到一个代码,可以通过短信或电子邮件发送——也可以选择通过自动语音电话获取代码。这里发送的代码仅限使用一次,并且有一个有效期,具体时间取决于网络服务,但通常较短。
这是最简单形式的OTP,适用于所有网络用户。然而,它也有一些缺点。在某些地区,短信服务可能较差,这可能导致消息在有效期到达之前无法送达用户。不过,在这种情况下,用户可以选择语音电话选项,这通常更快。最严重的问题是,如果攻击者在用户的手机上安装了恶意软件,他们可能会拦截代码。
攻击者还常常会在知道OTP将通过WhatsApp消息发送时,试图入侵受害者的WhatsApp账户。
通过认证器应用程序获取代码
还有一些软件,通常是以移动应用的形式,作为认证器使用。Google Authenticator就是其中之一。通过这种方式,应用程序会生成在一段时间内有效的代码。当你在输入用户名和密码后登录时,只需启动应用程序并从中获取代码。
与发送OTP到手机不同,这种方式通常没有延迟,并且可能更安全,特别是当你用生物识别技术保护应用程序本身时。唯一的问题是,如果你丢失了设备,在重新获得并安装应用程序之前,你将无法访问账户。
硬件认证器
这种认证方式的工作原理与认证器应用程序的工作原理完全相同。唯一的区别是硬件认证器是以硬件设备的形式存在,通常带有一个小屏幕和按钮。金融服务机构如银行主要使用这种方式。
与Google Authenticator等软件认证器不同,硬件认证器是由你拥有账户的服务机构专门提供的。在这里需要说明的是,一些银行也为其服务提供软件认证器。
使用硬件认证器时,需要随身携带这个设备,并且在没有携带它的情况下,你无法访问账户。这也可能吸引恶意人员,因为携带它表明你拥有有价值的东西。
基于位置的认证器
这是另一种2FA类型。在首次使用密码登录后,网络服务会验证你当前的位置,并检查是否来自你通常访问服务的位置。如果是来自熟悉的位置,你将获得访问权限。然而,如果用户从不同的位置访问,他将被迫通过一种验证方法,以确保用户是账户的实际拥有者。
大多数用户对这种2FA并不知情,因为它通常不被注意。其主要问题在于位置很容易被伪造。使用VPN或代理可以获取来自世界任何地方的IP。此外,位置并不是唯一的,因为一个位置可能有许多人。因此,基于位置的认证不应作为主要的2FA,而应作为额外的检查。
双因素认证会存在哪些问题
毫无疑问,考虑到密码和其他单因素认证方法的弱点,双因素认证(2FA)不应是一种奢侈品,而是一种必需品。然而,2FA仍然存在一些你需要注意的问题。让我们来看看其中的一些。
当丢失或无法访问时,你会被锁定在账户之外
2FA的一个问题是你需要始终能够访问认证因素。用户名和密码是可以记住的,但大多数2FA需要硬件或软件,这就是问题所在。如果你丢失了SIM卡或智能手机,或者手机电池电量不足,你将无法访问你的账户,直到下次你能够再次访问为止。
我曾有过这样的经历,因为旅行而忘记把用于账户的SIM卡留在家里,结果被登出账户。这是2FA相关的最大问题之一。如果你决定使用2FA,请确保保护好你的智能手机号码,以防你使用认证应用。
可以用于将合法用户登出
这一缺点尤其适用于那些将2FA配置设置为可选的网络服务。黑客可以接管用户账户,并代表他们开启2FA。然而,他们会使用自己的信息,而不是账户实际所有者的信息。这样一来,账户的实际所有者就被锁定在账户之外。即使不更改账户密码,账户所有者也无法访问。解决办法是,即使2FA是可选的,用户也应该进行配置,而网络服务应该强制所有用户使用2FA。
安全的错觉
2FA可能会让你产生一种安全的错觉,而实际上,你的账户可能没有达到应有的安全水平。首先,如果因为无法访问认证因素而被锁定账户,你会认为这是安全的吗?不幸的是,一些网络服务已经找到了解决办法。在你无法访问认证因素的情况下,这些服务提供了一种方法,让你可以重置并重新获得账户访问权限。
然而,仔细观察,这种方法存在缺陷,因为重置方法使得2FA在一开始就变得无用,因为黑客也可以激活重置选项。处理重置的最佳方法是进行某种形式的KYC(了解你的客户),确保声称自己是账户所有者的用户确实是账户的实际所有者。
如何提高2FA的有效性
如果你遵循以下最佳实践,2FA可以变得更加安全。
用户应该为其认证应用设置生物识别认证
这样,即使你身边的人获得了你的手机并试图访问认证应用,由于他们的面部或指纹与手机实际所有者的不匹配,他们也会被拒绝访问。
仅从官方应用商店(Google Play Store或Apple App Store)下载应用,并注意你授予应用的权限
在授予应用读取你消息的权限之前,要格外小心并确保应用是合法且值得信赖的。这是因为你手机上的恶意应用可以读取你的消息,并在你不知情的情况下将发送给你的OTP发给黑客。
确保在支持2FA的服务上启用2FA
无论该网站是否强制要求使用2FA,这样可以确保没有用户可以访问你的账户并设置2FA以完全将你锁定在外。
在任何情况下都不要与他人分享发送给你的代码
黑客常用社会工程学的方法来欺骗你提供发送到你手机的代码,他们会假装成其他身份。OTP和代码仅供你个人使用。
如果你对某项服务不够信任,就不应该注册账户
此外,始终验证你访问网站的URL,并确保它是正版网站,然后再输入你的登录信息。这样,你就不会将密码泄露给恶意黑客,因为确保密码安全是确保账户安全的第一步。没有你的密码,黑客甚至无法进入2FA阶段。
结 论
正确配置的双因素认证是保护你在线账户安全的一个重要改变,因为密码认证很容易被破解。
作为本文的总结,我建议你强制设置双因素认证,并确保认证因素安全且在你的掌控之中,但不在他人的掌控之中。只有当认证因素仅在你手中时,你才能访问你的账户,并使他人难以接管你的账户。
的初学者指南-759x500.jpg)
