不是所有的多重身份驗證方法都一樣
「兩步驗證」、「強壯驗證」、「2重身份認證」、「多重身份驗證」,這些名詞現在已經被很多人所熟知。
以多重身份驗證(MFA)為例,這是一種為了保護用戶隱私和簡化密碼輸入的手段,用戶需要在輸入密碼後再至少添加一種身份認證信息。這些認證信息可以是一個標記,指紋或虹膜,也可以是密碼提示信息等。
隨著密碼盜竊在網路安全領域日益嚴重,市場上也出現了各種多重身份驗證方法,那麼這些驗證方法或手段是不是都同等有效?
答案是否定的。
由於多重身份驗證的手段和方法很多,一些方法比另外一些安全性更高,以下列舉了一些常用的多重身份驗證方法:
1、一次性簡訊驗證碼(OTPs)
這是一種普遍用於2重身份驗證的方法。通常會發送一個隨機6位數到用戶的手機上,理論上只有擁有該手機號碼的機主才能通過驗證。當然,實際並不如此。例如2018年6月Reddit網站被爆出的數據泄露就是通過攔截簡訊實現的,儘管黑客沒有獲取到用戶的隱私信息,但是說明了簡訊驗證碼沒有想像中的安全可靠。
黑客可以通過中途攔截簡訊或在用戶手機上安裝惡意軟體,將收到的驗證碼簡訊轉發到攻擊者的手機上就能成功實現。還有黑客可以通過社會工程手段從手機運營商處重新獲取一張該號碼的SIM卡便可以接收簡訊驗證碼。
2016年起,美國國家標準與技術研究院(NIST)已經不再將簡訊驗證碼作為一種安全認證方式,然而目前很多公司還在使用這種方法來進行所謂的賬戶安全驗證。
2、硬體驗證
在用的多重身份驗證方法中最古老的一種驗證方法之一,經常是以U盤的外形出現,上面有個小的液晶屏幕顯示認證信息。
硬體認證的優點是可以保護內部的唯一密鑰不被盜取,但是缺點也很明顯,用戶使用時需要隨身攜帶,價格昂貴,需要定期更新認證信息。通常需要使用到USB介面,因此無法用於平板電腦或是手機。
3、移動驗證
這算是硬體驗證的一種升級,主要是以手機應用程序的方式出現,最大的好處是用戶不再需要隨身攜帶認證硬體,只需要在智能手機上安裝應用程序即可。但是缺點是無法查看內部的密鑰,激活過程有些需要使用到谷歌的二維碼驗證。如果有人獲取了該二維碼就可以複製驗證信息。
4、基於推送方式的驗證
移動認證和簡訊驗證的升級版。使用安全的推送技術進行身份驗證方便快捷,而且不像簡訊驗證需要接收驗證碼。推送驗證會對信息加密,在手機上只有通過特定應用程序才能打開,因此用戶會收到前後對應的驗證信息,有權選擇允許或拒絕訪問。
如果允許訪問,才會在用戶手機上收到唯一的簡訊驗證碼,不僅是對手機號碼的驗證,也需要對用戶手機的驗證。當然不是所有的推送驗證都能如此安全,現在也出現了可以攔截推送消息的技術。
5、二維碼驗證
二維碼驗證的優點是不需要實時網路連接,即使處於斷網狀態也可以進行驗證操作。用戶使用相應的手機應用程序掃描二維碼後,需要輸入由應用程序生成的唯一簡訊驗證碼、時間和認證信息。
這大大方便了用戶進行驗證的過程,也是為什麼目前能夠成為流行的多重身份驗證手段的原因。畢竟多重身份驗證的目的是保障安全,方便用戶而不是變得越來越繁瑣。越麻煩的認證方式反而會讓用戶不願使用,最終導致賬戶安全性降低。
以上介紹的是5種常用的多重身份驗證方法,它們各有優缺點。
不過有些觀念需要糾正一下,大多數人認為硬體驗證比移動驗證、推送驗證、二維碼驗證要更安全,其實不然。
舉個例子,如果位於俄羅斯的黑客想使用盜取的密碼使用公司的VPN,被盜用戶的密碼如果是硬體驗證,那麼黑客就需要社會工程手段,比如發送釣魚郵件或電話來誘使用戶透露自己的簡訊驗證碼。如果用戶使用的是推送驗證,這時用戶的手機上會收到類似「您的用戶名正在用於一台在俄羅斯的電腦上,準備進行VPN連接,是否允許?」這時用戶便會引起警覺。
因此綜上所述,可以發現推送驗證方式是目前多重身份驗證方法中最有效的方法,但不能保證所有推送驗證都能如此縝密的進行驗證。用戶還是需要根據自己的需求和認識來選擇相應的多重身份驗證方法。
WTT資訊-最新科技資訊,實時網安信息
歡迎關注我們:
@W-Pwn?
推薦閱讀:
