什麼是雙重認證 (2FA)?
聯絡我們雙因素驗證定義
雙因素驗證 (2FA) 是一種安全程序,讓使用者與真實身份更吻合。此程序要求使用者在存取應用程式或系統之前,必須提供兩個不同的驗證因素,而不只是使用者名稱和密碼。
2FA 是組織在面對日益複雜的網路攻擊時,保護資料和使用者的重要網路安全工具。隨著攻擊者的行為越來越複雜,任何規模的企業都必須緊跟步伐,不斷強化防禦措施,防止惡意人士接近其網路和系統。
要瞭解什麼是 2FA, 首先,這是讓組織不再僅依賴密碼以存取應用程式和網站的一項程序。就像字面上的意思,雙因素驗證 (2FA) 提供兩步驟的驗證程序,為企業的防護功能增加另一層防護。
這讓網路犯罪集團更難竊取使用者的身份資訊,或是存取裝置和帳號。此外,它還能協助組織防止攻擊者進入其系統,即使使用者的密碼已遭竊。這個程序越來越常被用來防範常見的網路威脅,例如網路釣魚攻擊,讓攻擊者得以竊取目標密碼並假冒身份。
什麼是驗證因素 (Authentication Factors)?
有幾種驗證因素類型可用來確認個人身份。最常見的包括:
- 知識因素: 使用者知道的資訊,可能包含密碼、個人辨識號碼 (PIN) 或加密代碼。
- 資產因素: 使用者擁有或持有的物品,可能是駕照、身份證、行動裝置,或是智慧型手機上的驗證器應用程式。
- 固有因素: 這是個人特性或有關使用者的表徵,通常是某種形式的生物特徵因素。這些包括指紋辨識、臉部和語音辨識,以及行為生物特徵辨識,例如按鍵動作動態和語音模式追蹤器。
- 位置因素: 這通常是以使用者試圖驗證身份的位置來進行判斷。組織可以根據員工登入系統的方式和地點,讓驗證僅限特定地點的特定裝置進行。
- 時間因素: 此因素會將身份驗證請求限制為允許使用者登入服務的特定時間。在此時間之外的所有存取試圖都將遭到封鎖或限制。
雙因素驗證 (2FA) 如何運作?
當使用者試圖登入應用程式、服務或系統時, 雙因素驗證 (2FA) 程序就會開始進行,或直到使用者獲得使用權限為止。驗證程序如下:
- 步驟 1: 使用者打開他們想存取的服務或系統之應用程式或網站。系統會要求他們使用個人憑證登入。
- 步驟 2: 使用者輸入他們的登入憑證,通常是他們的使用者名稱和密碼。應用程式或網站確認詳細資料,並識別輸入正確的初始驗證詳細資料。
- 步驟 3: 如果應用程式或網站不使用密碼登入憑證,則會為使用者生成安全金鑰。金鑰將由驗證工具處理,伺服器將驗證初始要求。
- 步驟 4: 系統會提示使用者送出第二個驗證因素。通常會是資產因素,也就是應只有使用者擁有的物品。例如,應用程式或網站發送一組獨特代碼至使用者的行動裝置。
- 步驟 5: 使用者將代碼輸入應用程式或網站,如果代碼通過驗證,就會授予系統存取權限。
一些常見的 2FA 類型
有幾種類型的 2FA 可用來進一步確認使用者的身份。一些更簡單的範例包括回答安全問題和提供一次性代碼。其他情況則使用不同類型的權杖 (token) 和智慧型手機應用程式。常見的 2FA 類型包括:
2FA 的硬體權杖
硬體權杖是原始類型的 2FA 格式之一。它們通常是小型鑰匙扣裝置,每 30 秒可產生一組獨特的數字代碼。當使用者送出其第一個驗證請求時,他們可以取出鑰匙扣並送出其顯示的代碼。其他形式的硬體權杖包括通用序列匯流排 (USB) 裝置,插入電腦後會自動傳輸驗證碼。
其中一個範例是 YubiKey(「無所不在的金鑰」的縮寫)是一種安全金鑰,可讓使用者將第二驗證因素新增至 Amazon、Google、Microsoft 和 Salesforce 等服務。當使用者登入支援一次性密碼 (OTP) 的服務如 GitHub、Gmail 或 WordPress 時,會使用 USB 裝置。使用者將 YubiKey 插入 USB 連接埠,輸入密碼,按一下 YubiKey 欄位,然後輕觸裝置上的按鈕。它能產生 44 字元的 OTP,並自動將其輸入到使用者的裝置上,以便進行 2FA 驗證。
對組織而言,分發硬體權杖裝置價格不菲。此外,使用者很容易遺失這些裝置,且駭客也不難破解這些裝置,因而成為不安全的驗證選項。
文字簡訊和 SMS 2FA
當使用者試圖登入應用程式或服務時,系統會透過簡訊服務 (SMS) 和文字簡訊發送 2FA 驗證因素。系統將唯一代碼的 SMS 簡訊發送至行動裝置,使用者再輸入至應用程式或服務。銀行和金融服務公司使用這種雙因素驗證 (2FA) 因素類型,驗證顧客透過網路銀行的購買或變更項目。但是,由於文字簡訊通常容易被攔截,因此已經越來越少使用了。
與 SMS 因素相似的是語音通話 2FA。當使用者輸入登入憑證時,其行動裝置將會接到一通來電,通知他們需要輸入的 2FA 代碼。此因素較少使用,通常由智慧型手機使用量較低的國家使用。
2FA 推送通知
較常用的無密碼兩步驗證形式是推送通知。與其透過 SMS 或語音在行動裝置上接收可能遭駭的程式碼,使用者不必透過簡訊或語音方式接收,而是將裝置於驗證系統先行註冊,再透過安全應用程式接收推送通知。通知會在收到請求後告知使用者,並提醒他們驗證進行中。然後,他們可以核准或駁回存取請求。
此驗證形式會建立連線,串起使用者試圖存取的應用程式或服務、2FA 服務提供者、使用者本身以及其裝置。這個方式簡單好上手,且可降低安全風險如網路釣魚、中間人攻擊、社交工程攻擊以及未經授權的存取。
此驗證格式比 SMS 或語音通話更安全,但仍有風險存在。例如,當出現推送通知時,使用者很容易因為快速點選核准按鈕,意外核准詐騙的驗證要求。
行動裝置專用 2FA
智慧型手機提供 2FA 的各種可能性,讓公司得以使用最適合自己的功能。有些裝置可辨識指紋。如有內建攝影機,可進行臉部辨識或虹膜掃描,而麥克風可用於語音辨識。配備全球定位系統 (GPS) 的智慧型手機可以驗證位置,作為額外的驗證因素。語音或 SMS 也可以作為 無網路驗證的管道。
可設定信任的電話號碼,用來接收文字訊息或自動電話驗證。使用者至少必須驗證一個可信任電話號碼才能加入 2FA。 Apple iOS、Google Android 和 Windows 10 都具備支援 2FA 的應用程式,讓手機本身可以做為實體裝置,以滿足資產驗證要件。
於 2018 年被 Cisco 以 23.5 億美元買下,位於美國密西根州安娜堡的 Duo Security 是 2FA 平台廠商,其產品能讓顧客使用他們信任的裝置進行 2FA。Duo 的平台會先確認使用者是信任狀態,然後再驗證行動裝置是否同樣值得信賴以驗證使用者身份。
驗證器應用程式取代了透過文字、語音通話或電子郵件取得驗證碼的需求。例如,若要存取支援 Google Authenticator 的網站或網頁式服務,使用者可輸入他們的使用者名稱和密碼,這是知識因素。接著,系統會提示使用者輸入六位數數字。驗證器不需要等待幾秒鐘才能收到文字訊息,而是直接產生號碼。這些數字每 30 秒變更一次,每次登入都會不同。輸入正確的號碼後,使用者即可完成驗證程序並證明擁有正確的裝置,這是資產要素。
多因素驗證與雙因素驗證(MFA 與 2FA)
2FA 是多因素驗證 (MFA) 概念的一種。MFA 要求使用者在授予服務存取權之前,先驗證多個身份驗證因素。它是任何身份和存取管理 (IAM) 方案的核心,可通過提高使用者身份驗證的確定性,從而降低資料外洩或網路攻擊的機會。
2FA 和 MFA 的主要不同在於,2FA 只需要一個額外的驗證因素形式。另一方面,MFA 可以包括使用應用程式所需的任意身份驗證因素,以證明使用者真實身份。
這是因為攻擊者可能會破解一項驗證因素,例如員工的身份證或密碼。因此,企業必須進一步增加認證因素,讓駭客更難得逞。例如,高度安全的環境通常需要更高的 MFA 程序,其中包含實體和知識因素,以及生物特徵認證。他們通常也會考慮諸如地理位置、使用裝置、存取服務時間以及持續的行為驗證等因素。
任何驗證程序的關鍵是為媒介找到一個平衡點,讓終端使用者方便使用,同時提供企業保護資料和系統所需的安全等級。員工不希望被緩慢、不可靠的驗證方案拖慢效率,這種漫長等待的程序勢必會影響到工作。
2FA 是否安全?
在使用者被授予存取應用程式或網站之前,多重因素驗證要求比只依賴使用者名稱和密碼組合更為安全。因此,2FA 比僅要求使用者輸入單一密碼保護更加安全。同理可證,MFA 也比 2FA 更安全,因為它能讓組織要求使用者送出更多身份驗證因素。
然而,2FA 的安全等級仍有其缺陷。例如,使用硬體權杖可能會讓組織在裝置製造商遇到安全性故障時出現弱點。這正是資安廠商 RSA 在 2011 年由於 SecurID 認證權杖遭駭客入侵,而導致資料外洩的原因。
其他驗證因素也有其瑕疵。SMS 2FA 便宜好用,但容易遭受網路攻擊。國家標準技術局(National Institute of Standards and Technology,簡稱 NIST)不鼓勵使用 2FA SMS,因其容易遭受各種可攜式攻擊和惡意軟體問題。
儘管如此,大多數網路攻擊都是來自遠端位置,使得 2FA 成為保護企業的實用工具。它通常可防止攻擊者使用遭竊的使用者憑證和密碼,來存取應用程式或系統。此外,駭客也不太可能會存取使用者第二個驗證項目,尤其是生物辨識因素。
Fortinet 的雙因素驗證 (2FA) 和身份存取管理方案
企業需要管理的各種身份環境日益增加,包括雲端應用程式、商業服務、網路裝置和伺服器的多個系統。它們很快將成為一項極具艱困的管理工作,最終帶來糟糕的使用者體驗、讓應用程式開發人員頭痛不已,並成為管理者的後勤夢魘。最終這將致使企業暴露在資料外洩風險中,包括:程式碼漏洞、不當使用者存取層級,以及管理不當的軟體更新。
Fortinet 身份和存取管理 解决方案為組織提供所需的服務,可安全地確認和管理網路中的使用者和裝置的身份。這個強大的方案可讓企業掌控使用者身份,並確保使用者只能存取他們需要存取的系統和資源。
Fortinet IAM 方案由三個核心元件組成:
- FortiAuthenticator: FortiAuthenticator 透過 Fortinet Security Fabric 集中式驗證服務(包括單一登入服務、憑證管理和訪客存取管理),防止未經授權的使用者存取公司資源。
- FortiToken: 透過提供第二驗證因素,進一步確認使用者身份。它會透過 行動應用程式 和實體權杖來執行此作業。
- FortiToken 雲端: 提供 MFA 即服務,包含一個直覺化主控台,方便組織管理 MFA 解决方案。
結合這三大元件,企業在管理較大型人力時,存取系統裝置數量增加後面臨的 IAM 挑戰即可迎刃而解。
常見問題解答
2FA 是什麼?
2FA 是雙因素驗證,這是一種讓組織提高其應用程式、系統和網站安全性的安全性程序。
雙因素驗證 (2FA) 代表什麼?
雙因素驗證 (2FA) 代表使用者必須送出兩個驗證因素,才能證明其身份。當使用者登入到應用程式或系統時,就會使用這項功能來增加一層額外的安全性,如果只使用者名稱和密碼即可登入,則很容易被駭客入侵或遭竊。
雙因素驗證 (2FA) 會被駭入嗎?
雙因素驗證 (2FA) 是可以被駭入的。像硬體權杖這種 2FA 工具可能會遭到入侵,而 SMS 訊息可能會被惡意人士攔截。然而,2FA 比只使用密碼的登入流程更安全。
何謂多因素驗證?
多因素驗證是一種安全程序,可使用多種因素驗證來確認使用者的身份。MFA 表示使用多個驗證因素,讓使用者存取他們的帳號。
