1. 手機令牌

手機令牌很大程度上與硬件令牌類似，但是通過手機應(yīng)用實現(xiàn)的。手機令牌最大的優(yōu)勢在于用戶只需要帶個智能手機就行了，而智能手機現(xiàn)在基本屬于必備品，很多人忘帶鑰匙都不會忘帶手機。真正的問題是要審查密鑰進入手機的方式，也就是“激活過程”。以二維碼提供所有密鑰和憑證可不是個好主意，任何能復(fù)制你二維碼的人都能掌握你令牌的副本。

2. 基于推送的身份驗證令牌

一種脫胎于常見手機令牌和短信驗證碼的驗證令牌，運用安全推送技術(shù)進行身份驗證，因易用性提升而受到用戶歡迎。與短信不同，推送消息不含OTP，而是包含只能被用戶手機上特定App打開的加密信息。因此，用戶擁有上下文相關(guān)信息可供判斷登錄嘗試是否真實，然后快速同意或拒絕驗證。如果同意，用戶手機上的令牌應(yīng)生成一個OTP，連同該同意授權(quán)一起發(fā)回以供驗證使用。不是所有MFA解決方案都這么做，也就增加了推送同意消息被摹寫和偽造的風(fēng)險。

3. 基于二維碼的身份驗證令牌

基于推送的令牌需要手機的數(shù)據(jù)連接，基于二維碼的身份驗證則可以離線工作，通過二維碼本身來提供上下文信息。用戶以手機驗證App掃描屏幕上的二維碼，然后輸入該App根據(jù)密鑰、時間和上下文信息產(chǎn)生的OTP。用戶在此過程中體驗到的快捷方便很重要，是基于推送和基于二維碼的令牌得以迅速推廣開來的原因所在。

每種身份驗證方法都有其優(yōu)缺點，但人們選擇MFA解決方案時還會有些很有趣的考慮。比如說，大多數(shù)人會認(rèn)為硬件令牌比使用推送和二維碼技術(shù)的手機令牌更安全。但實際情況卻并非如此。舉個例子，假設(shè)某個俄羅斯人試圖用偷來的憑證登錄某家公司的VPN。如果用戶使用硬件令牌，攻擊者可以給他打電話或發(fā)送網(wǎng)絡(luò)釣魚郵件，利用社會工程方法說服他給出OTP——很多用戶最終都會給的。但如果該用戶使用的是基于推送和二維碼技術(shù)的手機令牌，他會收到一條推送信息，稱：“您的賬號請求從位于俄羅斯的計算機連接您的VPN。是否同意?”那攻擊者就很難說服用戶同意這種離譜的連接請求了。

如您所見，身份驗證方法多種多樣，但并不是每一種都能給您同等的安全?；谕扑偷牧钆瓶赡鼙扔布钆聘行?，但不是所有基于推送的令牌都采用同樣的工作方式。推出MFA解決方案時要確保充分理解所選MFA方法的安全程度和風(fēng)險等級。

cc

收藏 海報分享