相比幾年之前，如今熟悉“兩步驗證”、“強身份驗證”、“2FA”、“MFA”等術(shù)語的人可是多了許多。通過增加至少1個除口令之外的驗證因子到身份驗證過程，多因子身份驗證(MFA)解決方案可以更好地保護用戶憑證并簡化口令管理。這些額外的驗證因子可以是你擁有的東西，比如令牌;或者你具備的東西，比如指紋或紅膜掃描;還可以是某些只有你才知道的東西，比如口令。由于憑證盜竊吸引了安全行業(yè)的更多關(guān)注，很多MFA解決方案一擁而上，涌入市場。于是，問題來了：所有MFA方法都一樣的有效嗎?

說實在話，實現(xiàn)MFA的方法多種多樣，安全效果自然也大相徑庭。我們不妨分析一下常見MFA方法，看看哪種驗證因子更為有效。

1. 一次性短信驗證碼(OTP)

用短信作為第二個身份驗證因子很是常見。用短信向用戶手機發(fā)送隨機的六位數(shù)字，于是理論上只有持有正確手機的人才能通過驗證，對吧?很不幸，答案是否定的。已有多種方法被證明可以黑掉OTP。比如說，2018年6月中旬，黑客就是通過短信攔截而黑掉了新聞娛樂網(wǎng)站Reddit。雖然黑客并未獲得太多個人信息(Reddit的事件響應(yīng)工作很棒)，還是暴露出了短信身份驗證碼并不像人們通常以為的那么安全。利用蜂窩網(wǎng)絡(luò)漏洞就能攔截短信。受害者手機上安裝的惡意軟件也能重定向短信到攻擊者的手機。對手機運營商的社會工程攻擊可以使攻擊者復(fù)制出與受害者手機號相關(guān)聯(lián)的新SIM卡，接收到受害者的OTP短信。實際上，美國標(biāo)準(zhǔn)與技術(shù)研究所(NIST)在2016年就不贊成使用短信身份驗證了，認為該方法不再是安全的身份驗證方法。但不幸的是，很多公司企業(yè)還在繼續(xù)依賴短信OTP，給用戶一種虛假的安全感。

2. 硬件令牌

作為現(xiàn)役MFA方法中的老大哥，硬件身份驗證令牌常以帶OTP顯示屏的密鑰卡的形式存在，硬件本身保護著其內(nèi)部唯一密鑰。但硬件密鑰卡的缺陷也很明顯。首先，用戶不得不隨身攜帶這個額外的設(shè)備；其次，貴；再次，需要物流遞送；最后，必須不時更換。某些硬件令牌需要USB連接，在需要從手機或平板進行驗證的時候就很棘手了。

cc

收藏 海報分享