Skip to content Skip to navigation Skip to footer

什么是双因素身份认证 (2FA)

联系我们

双重身份验证定义

双重身份验证 (2FA) 是一种安全流程,可以提高一个人身份的真实性。该流程会请求用户在访问应用程序或系统之前提供两个不同的认证因素,而不是简单地提供他们的用户名和密码。

面对网络安全环境中日益复杂的网络攻击,2FA 是组织保护其数据和用户的重要安全工具。各种规模的企业都必须随着攻击的复杂性不断进步,不断改进他们的防御措施,以阻止恶意攻击者对其网络和系统的侵害。

要回答什么是 2FA ,最好先记住,它是让组织不再仅仅依赖密码来进入应用程序和网站的流程。2FA 正如其名称所表达的一样:提供两步验证流程,为企业提供额外一层防护。 

这使得网络犯罪分子更难窃取用户身份或访问其设备和账户。它还有助于组织防止攻击者进入其系统,即使用户的密码已经被盗。该过程越来越多地被用于防止常见的网络威胁,例如网络钓鱼攻击,攻击者通过这种手段在窃取目标的密码后伪造身份。

什么是身份验证因素?

有多种类型的身份验证因子可用于确认一个人的身份。最常见的情况包括:

  1. 知识因素: 用户知道的信息,可包括密码、个人识别码 (PIN) 或密码。
  2. 持有因素: 用户拥有的事物,可能是其驾驶执照、身份证、移动设备或智能手机上的验证器应用程序。
  3. 属性因素: 个人特质或用户的特征,通常是某种形式的生物特征识别因素。其中包括指纹识别、面部和语音识别,以及诸如击键特征和语言模式等行为生物识别特征。
  4. 位置因素: 通常基于用户尝试验证其身份时的所在位置。组织可以限制位于特定位置的特定设备进行身份验证尝试,具体取决于员工登录到其系统的方式和位置。 
  5. 时间因素: 此因素将身份验证请求限制在特定时间内,只有在此时间内用户才能登录到服务。此时间之外的所有访问尝试将被阻止或限制。 

双重身份验证的工作原理是什么?

当 用户尝试登录到应用程序、服务或系统时,开始进行双重身份验证 流程,直到他们被授予相应权限。身份验证流程如下所示:

  • 第 1 步: 用户打开他们想要访问的服务或系统的应用程序或网站。然后,系统会要求他们使用凭证登录。 
  • 第 2 步: 用户输入登录凭证,通常是他们的用户名和密码。应用程序或网站确认详细信息,并确定是否已输入正确的初始身份验证详细信息。 
  • 第 3 步:如果应用程序或网站不使用密码登录凭证,则会为用户生成安全密钥。密钥将由身份验证工具进行审核,服务器将验证初始请求。
  • 步骤 4: 随后将提示用户提交第二个身份验证因素。该因素通常是持有因素,也就是仅他们拥有的事物。例如,应用程序或网站将向用户的移动设备发送唯一的代码。
  • 第 5 步: 用户将代码输入至应用程序或网站,如果代码通过,用户将通过身份验证并被授予系统访问权限。

一些常见的 2FA 类型

有几种类型的 2FA 可用于进一步确认用户的身份。一些更简单的案例包括回答安全问题和提供一次性代码。其他的案例会使用各种类型的令牌和智能手机应用程序。常见的 2FA 类型包括:

2FA 硬件令牌

硬件令牌是 2FA 方式最初的一种类型。它们通常是小密钥卡设备,每 30 秒生成一个唯一的数字代码。当用户提交其第一个验证请求时,他们可以查看器密钥卡并提交其显示的代码。其他形式的硬件令牌包括通用串行总线 (USB) 设备,当把它们插入计算机时,会自动传输认证码。

其中一个案例是 YubiKey(是通用密钥 (ubiquitous key) 的缩写),它是一种安全密钥,让用户能够为亚马逊、谷歌、微软和 Salesforce 等服务添加第二个身份验证因素。当用户登录到支持一次性密码 (OTP) 的服务(例如 Github、Gmail 或 WordPress)时,他们会使用 USB 设备。用户将 YubiKey 插入其 USB 端口,输入密码,点击 YubiKey 字段,然后按设备上的按钮。它会生成一个包含 44 个字符的 OTP,并自动输入到用户的设备上,从而通过持有 2FA 因素进行验证。

对于组织来说,分配硬件令牌设备的成本通常很高。此外,它们容易被用户丢失,并且可能被黑客破解,从而使其成为不安全的身份验证选项。

短信和 SMS 2FA

当用户尝试登录应用程序或服务时,会用到短消息服务 (SMS) 和文本消息 2FA 因素。SMS 消息将被发送到用户的移动设备,其中包含用户随后输入到应用程序或服务的唯一代码。银行和金融服务部门曾使用这类 2FA 因素,用于验证客户在线银行账户的购买和变更情况。但是,考虑到文本消息容易被拦截,他们通常会放弃此选项。

与 SMS 因素类似的是语音呼叫 2FA。当用户输入其登录凭证时,他们将在移动设备收到电话,电话将告知他们需要输入的 2FA 代码。此因素的使用频率较低,但智能手机使用率较低的国家/地区的组织会部署此方式。

2FA 推送通知

更常用的无密码双重身份验证是推送通知。与其通过短信或语音在其移动设备上接收代码(这可能会被黑客攻击),相反,用户会收到注册到认证系统的设备上的安全应用程序发送的推送通知。该通知将告知用户所请求的操作,并提醒用户某人尝试进行身份验证。然后,他们只需批准或拒绝访问请求。 

此身份验证方式在用户尝试访问的应用程序或服务、2FA 服务提供商、用户本身和他们的设备之间建立起了联系。这种方式易于使用,降低了安全风险出现的可能性,如网络钓鱼、中间人 (MITM) 攻击、社交工程和未经授权的访问尝试。

此身份验证方式比短信或语音呼叫更安全,但仍存在风险。例如,当出现推送通知时,用户很容易快速点击批准按钮,意外确认欺诈者进行的身份验证请求。

移动设备的 2FA

智能手机为 2FA 提供各种可能性,让公司能够使用最适合自己的功能。有些设备能够识别指纹。内置摄像头可用于面部识别或虹膜扫描,麦克风可用于语音识别。配备全球定位系统 (GPS) 的智能手机可以验证位置,从而能作为附加因素。语音或 SMS 也可以用作带外身份验证的渠道。

受信任的电话号码可用于通过短信或自动电话呼叫接收验证码。用户必须验证至少一个受信任电话号码才能注册 2FA。 Apple iOS、谷歌安卓和 Windows 10 均具有支持 2FA 的应用程序,使得电话本身能够作为满足持有因素的物理设备。 

位于密歇根州安阿伯市的 Duo Security 是 Cisco 在 2018 年以 23.5 亿美元的收购的一家 2FA 平台供应商,其产品使客户能够使用其受信任的设备使用 2FA。Duo 的平台首先证实用户是否受信任,然后验证移动设备是否可被信以用于认证用户。

身份验证应用程序取代了通过文本、语音呼叫或电子邮件获取验证码的方式。例如,要访问支持 Google Authenticator 的网站或基于网络的服务,用户需要键入他们的用户名和密码 - 即知识因素。然后,系统会提示用户输入六位数的号码。验证器会为用户生成数字,而不必等待几秒钟才能收到文本消息。这些数字每 30 秒更改一次,每次登录时都会不一样。通过输入正确的号码,用户可完成验证流程并证明拥有正确的设备 — 持有因素。

多重身份验证 vs 双重身份验证 (MFA vs 2FA)

2FA 属于广义的多重身份验证 (MFA)。MFA 要求用户在获得服务访问权限之前验证多个身份因素。这是任何身份和访问管理 (IAM) 解决方案的核心组成部分,可通过进一步验证用户身份的真实性,从而降低数据泄露或网络攻击的可能性。

2FA 和 MFA 之间的主要区别在于,2FA 仅需要一种额外的身份验证因素。另一方面,MFA 可以尽可能多地使用应用程序所需要的身份验证因素来验证用户身份的真实性。

这是因为攻击者可能会破解身份验证因素,例如员工的身份证或密码。因此,企业必须添加进一步认证因素,让黑客难以达到目的。例如,高度安全的环境通常要求更高等级的 MFA 过程,可能会结合使用物理因素、知识因素以及生物特征识别验证。通常还会考虑到诸如地理位置、正在使用的设备、访问服务的时间以及持续的行为验证等因素。

任何身份验证流程的关键是找到一个令最终用户满意、易于使用的媒介,且该媒介能够为企业提供保护其数据和系统所需的安全级别。员工不希望被缓慢、不可靠的身份验证方案阻碍,他们必然会避开妨碍工作完成的繁琐流程。 

2FA 安全吗?

在本质上,在授予用户访问应用程序或网站的权限之前要求多个身份验证因素,比仅依靠用户名和密码组合更安全。因此,2FA 比仅要求用户输入单一密码的保护方式更加安全。同样,可以认为 MFA 比 2FA 更安全,因为它让组织要求用户提交更多的认证因素。

但是, 2FA 的安全层面存在瑕疵。例如,设备制造商出现安全漏洞时,使用硬件令牌会让组织容易受到攻击。例如,安全公司 RSA 在 2011 年因 SecurID 认证令牌被黑客攻击而导致数据泄露。

其他认证因素也有其缺点。SMS 2FA 价格低廉,方便员工使用,但容易受到网络攻击。美国国家标准技术局 (NIST) 不鼓励将 SMS 用于 2FA,表示 SMS 易受各种可移植性攻击和恶意软件的影响。

尽管如此,大多数网络攻击都来自远程位置,这使得 2FA 成为保护企业相对有用的工具。它通常可防止攻击者使用被盗用户的凭证和密码访问应用程序或系统。攻击者也不太可能获取用户的第二认证因素,特别是涉及生物特征识别的因素。

Fortinet 提供的双重身份验证和身份访问管理解决方案

企业越来越多地管理由跨云端应用程序、目录服务、网络设备和服务器的多系统组成的身份环境。这些环境的迅速发展带来了一项极具挑战性的管理任务,最终会导致用户体验不佳、应用程序开发人员晕头头转向,并给管理员的后勤工作带来噩梦。代码漏洞、不当的用户访问级别和不当的软件更新管理容易导致企业数据泄露。 

Fortinet 身份和访问管理 解决方案为组织提供他们所需的服务,以便公司能够确认和管理其网络上的用户和设备的身份。强大的解决方案使企业能够控制用户身份,并确保用户仅有权访问他们需要访问的系统和资源。

Fortinet IAM 解决方案由三个核心部分组成:

  1. FortiAuthenticator: FortiAuthenticator 为 Fortinet Security Fabric 安全架构提供集中认证服务,包括单点登录服务、证书管理和访客访问管理,从而防止未经授权对公司资源进行访问。
  2. FortiToken: 通过提供第二个验证因素,此方法进一步对用户身份的真实性进行了确认。它通过 移动应用程序 和物理令牌来实现这一点。
  3. FortiToken Cloud: 提供 MFA 服务,并附带直观的控制面板,让组织能够管理其 MFA 解决方案。

越来越多的员工通过他们的设备申请对系统的访问,公司在这方面的管理面临着巨大挑战,而上述互相结合的三个组成部分能够帮助公司应对这样的 IAM 挑战。

常见问题解答

2FA 代表什么?

2FA 代表双重身份验证,这是一个安全流程,让组织能够提高其应用程序、系统和网站的安全性。

双重身份验证是什么意思?

双重身份验证意味着用户必须提交两个身份验证要素,以证明他们身份的真实性。用户使用这种方式登录到应用程序或系统中,为仅使用密码和用户名的方式提供了额外的安全保护,因为用户名和密码很容易被黑客入侵或盗走。

双重身份验证是否会被黑客攻击?

双重身份验证会受到黑客的攻击。2FA 工具(如硬件令牌)可能会被盗用,而 SMS 消息可能会被恶意人员拦截。但是,2FA 是比仅依靠密码更安全的登录过程。

什么是多重身份验证?

多重身份验证是一种安全流程,它通过使用多个身份验证因素来确认用户身份的真实性。MFA 是指使用多个身份验证因素让用户访问其账户。