多重身份验证指南：类型和最佳实践

随着在线安全漏洞的增加，保护敏感信息访问的安全不仅仅需要使用密码。这就是多重身份验证的用武之地，它通过要求用户提供两个或更多身份验证因素来获得对其帐户的访问权限，从而提供额外的安全层。

MFA 中的不同种类的因素 #

多因素身份验证中使用了几种类型的身份验证因素：

• 您知道的信息： 这包括只有用户知道的信息，例如密码、PIN 或安全问题的答案。这方面的一个例子是使用密码登录社交媒体帐户。

• 您拥有的东西： 这包括只有用户拥有的物理对象，例如 U 盘、智能卡或手机。这方面的一个例子是使用智能卡访问安全的政府设施。

• 你是什么： 这包括生物识别信息，例如指纹、面部识别或虹膜扫描。这方面的一个例子是使用面部识别解锁智能手机。

• 您所在的地方： 这包括基于位置的信息，例如用户的 GPS 位置或 IP 地址。这方面的一个例子是银行要求用户在允许访问他们的帐户之前验证他们的位置。

• 您所做的事情： 这包括行为生物识别，例如用户的打字速度、鼠标移动或语音模式。这方面的一个例子是一个系统，它可以识别用户键入的方式来验证他们的身份。

使用多个因素来验证用户身份比使用单一因素（例如密码）更安全。通过使用身份验证因素的组合，攻击者更难获得对敏感信息的未授权访问。

MFA 中每个因素的优缺点 #

以下是每种类型的多因素身份验证 (MFA) 的优缺点：

• 你知道的事情：

  • 优点：易于使用，可以经常更改，可以与多人共享（例如团队密码）。

  • 缺点：可能会受到网络钓鱼、猜测或暴力攻击的危害，并且可能会被遗忘或丢失。

• 你拥有的东西：

  • 优点：难以复制或窃取，可离线使用，丢失或被盗时可轻松更换。

  • 缺点：可能会被遗忘或丢失，如果没有妥善保护可能会被盗，并且实施起来可能很昂贵。

• 你是什么：

  • 优点：每个人都是独一无二的，难以伪造，并且不会丢失或遗忘。

  • 缺点：可能会受到用户外观变化的影响，对于大量用户来说可能难以实施，并且可能被视为侵入性的。

• 你所在的地方：

  • 优点：可以为身份验证提供额外的上下文，例如确保用户位于正确的地理位置。

  • 缺点：可以使用虚拟专用网络 (VPN) 或代理服务器进行欺骗，可能不准确或不精确，并且可能难以为移动用户实施。

• 你做的事情：

  • 优点：难以复制，可用于识别特定个体，不会丢失或遗忘。

  • 缺点：可能会受到伤害或残疾的影响，可能需要专门的硬件或软件，并且可能并非对所有用户都有效。

虽然基于硬件的身份验证（例如使用像 Yubico 的 YubiKey 这样的物理令牌）被认为是最安全的，但基于 SMS 的身份验证和基于电子邮件的身份验证被认为是最不安全的方法，因为它们容易受到拦截和欺骗。

安全的最佳多因素身份验证方法 #

虽然所有类型的多因素身份验证都比仅使用密码提供更好的安全性，但有些方法比其他方法更安全。基于硬件的身份验证，例如使用像 Yubico’s YubiKey or the OnlyKey 被认为是最安全的，因为它们需要物理拥有令牌，它们为每次登录尝试生成一个唯一的代码，并且它们不易受到网络钓鱼或黑客攻击。

基于 SMS 的身份验证和基于电子邮件的身份验证被认为是最不安全的方法，因为它们容易受到拦截和欺骗。

在安全性和易用性之间折衷的好方法 #

基于软件的 2FA 令牌生成是易用性和安全性之间的良好折衷。基于软件的 2FA 令牌不是依赖物理硬件令牌，而是由用户智能手机或计算机上的应用程序生成。

这些应用程序通常会为每次登录尝试生成一个唯一的代码，从而在密码之外提供额外的安全层。这种类型的 2FA 比基于短信的身份验证和基于电子邮件的身份验证更安全，后者容易受到拦截和欺骗。

基于软件的 2FA 令牌比硬件令牌更容易备份，这既有利也有弊。一方面，这意味着如果用户丢失了旧设备，他们可以更轻松地将他们的 2FA 转移到新设备上，从而使他们更方便地访问他们的帐户。

但是，这也意味着如果有人获得了用户备份代码的访问权限，他们就有可能获得对使用该 2FA 令牌的所有帐户的访问权限。因此，用户将备份代码保存在安全位置非常重要，例如密码管理器或加密驱动器。

多重身份验证的类型 #

有多种类型的多因素身份验证方法可用，每种方法使用不同的身份验证因素组合：

• 双因素身份验证 (2FA)： 这是最常见的多因素身份验证类型，需要用户提供两种不同的身份验证因素，例如密码和通过短信发送的验证码。

• **三因素身份验证（3FA）：**这需要用户提供三种不同的身份验证因素，例如密码、指纹扫描和智能卡。

• 四因素身份验证 (4FA)： 这是最安全的多因素身份验证类型，需要用户提供四种不同的身份验证因素，例如密码、指纹扫描、智能卡和面部识别扫描。

使用两个以上的因素值得吗？ #

在多因素身份验证中使用两个以上因素的决定最终取决于帐户所需的安全级别。对于大多数帐户，双因素身份验证就足够了。然而，对于高度敏感的账户，例如那些包含财务或医疗信息的账户，使用两个以上的因素，例如结合您知道的、您拥有的和您的身份，可以提供额外的安全层。

硬件令牌问题 #

虽然基于硬件的身份验证被认为是最安全的多因素身份验证方法，但使用硬件令牌存在一些问题。为确保最大程度的安全，您应该只为所有帐户使用一个硬件令牌，并将其保存在只有少数人知道的安全位置。此外，如果您病重或去世，如果您只有一个硬件令牌，您的亲人可能无法访问您的帐户。

作为备用，建议您使用辅助身份验证方法，例如基于软件的身份验证应用程序，以确保您在丢失或错放硬件令牌时可以访问您的帐户。然而，这并非在所有情况下都是可取的。由您决定什么是优先事项。安全或便利。

＃＃ 结论

在当今的数字世界中，对强大的在线安全措施的需求比以往任何时候都更加重要。多因素身份验证是在线安全的重要组成部分，提供额外的保护层，使攻击者更难获得对敏感信息的未授权访问。

通过要求用户提供多种身份验证因素，例如他们知道的东西、他们拥有的东西或他们的身份，MFA 有助于防止常见的攻击方法，例如网络钓鱼、暴力攻击和密码猜测。虽然基于硬件的身份验证被认为是最安全的方法，但基于软件的 2FA 令牌在安全性和易用性之间提供了良好的平衡。

最终，在 MFA 中使用两个以上因素的决定取决于帐户所需的安全级别。对于大多数帐户，双因素身份验证就足够了，但对于高度敏感的帐户，使用两个以上的因素可以提供额外的安全层。

总之，实施多重身份验证是保护在线帐户和保护敏感信息免受网络威胁的重要一步。

＃＃ 参考

• NIST Special Publication 800-63B: Digital Identity Guidelines
• Yubico’s - Authentication standards
• Microsoft’s - Multifactor authentication in Azure AD
• Google’s Guide to Two-Factor Authentication
• Okta’s - Setting Up and Authenticating with Multi-factor Authentication (MFA)