MFA 涉及人們生活的方方面面，驗證的方式也是多種多樣。本篇文章作者將從 MFA 常用的六種常用方式分析其中的優(yōu)劣，提供應(yīng)對措施，希望能對大家有所幫助。

一、什么是多因素身份驗證 (MFA)？

MFA是一種身份驗證方法，它為傳統(tǒng)的基于密碼的身份驗證過程增加了一層額外的保護。MFA要求用戶提供至少兩個身份驗證因素，以證明其身份并獲得對系統(tǒng)或應(yīng)用程序的訪問權(quán)限。

【資料圖】

二、MFA中常用的因素包括

1. 知識因素

知識因素是只有用戶自己知道的信息，例如用戶名、密碼、短信驗證碼、電子郵件驗證碼、安全問題等。

2. 擁有因素

擁有因素是只有用戶擁有的實體物體，例如安裝了身份驗證應(yīng)用程序的移動設(shè)備等。

3. 固有因素

固有因素是用戶所獨有的物理特征，例如一個人的指紋、面部特征等。

4. 行為因素

行為因素是基于用戶的行為模式驗證其身份，例如用戶通常登錄的位置、IP地址、時間、設(shè)備等。

5. 認知因素

認知因素是基于用戶的認知能力驗證其身份，例如滑動拼合拼圖、正確識別扭曲的字母或數(shù)字、音頻識別等。

三、各因素優(yōu)劣分析

1. 短信驗證碼

受到SIM卡交換攻擊，攻擊者首先獲取有關(guān)用戶的個人信息，例如他們的姓名、電話號碼、帳戶詳細信息，然后聯(lián)系受害者的移動網(wǎng)絡(luò)提供商，聲稱丟失或損壞了他們的SIM卡，攻擊者提供用戶的個人信息作為身份證明，并要求將用戶的電話號碼轉(zhuǎn)移到受攻擊者控制的新SIM卡上，一旦控制了用戶的電話號碼，他們就可以接收短信驗證碼并獲得對用戶帳戶的未授權(quán)訪問。 受到短信釣魚攻擊，攻擊者發(fā)送一條看似來自可信來源的欺詐消息，該消息提示用戶單擊鏈接或提供個人信息請求，例如登錄憑據(jù)或驗證碼。如果用戶上當(dāng)受騙并提供請求的信息，攻擊者就會捕獲這些信息，然后使用它來獲得對用戶帳戶的未授權(quán)訪問。 驗證短信需要移動網(wǎng)絡(luò)連接，如果用戶所在的區(qū)域移動網(wǎng)絡(luò)覆蓋較差或完全沒有覆蓋，他們可能延遲或無法接收驗證短信，導(dǎo)致他們無法登錄或高效登錄。

2. 電子郵件驗證碼

如果用戶使用郵箱帳戶注冊平臺帳戶，并為兩個帳戶設(shè)置相同的密碼，攻擊者破解郵箱帳戶密碼就可以獲得郵箱驗證碼并使用它來獲得對平臺帳戶的未授權(quán)訪問。 受到網(wǎng)絡(luò)釣魚攻擊，攻擊者發(fā)送一條看似來自可信來源的欺詐性電子郵件，以誘騙收件人提供個人敏感信息，例如登錄憑據(jù)或驗證碼。如果用戶上當(dāng)受騙并提供請求的信息，攻擊者就會捕獲這些信息，然后使用它來獲得對用戶帳戶的未授權(quán)訪問。 驗證步驟繁瑣，用戶需要在不同的應(yīng)用程序（例如，郵箱應(yīng)用和用戶試圖訪問的應(yīng)用）或設(shè)備之間切換完成驗證過程。 電子郵件的發(fā)送和接收可能會延遲或最終進入垃圾郵件箱。

3. 安全問題

缺乏保密性，個人信息經(jīng)常通過各種在線平臺、社交媒體或數(shù)據(jù)泄露而被共享或暴露，這使得攻擊者很容易收集個人信息繞過安全問題并獲得對用戶帳戶的未授權(quán)訪問。 問題數(shù)量有限，用戶只能從平臺預(yù)先提供的有限的問題池中進行選擇，可能很難選擇對他們來說真正獨特且難忘的問題。此外，有限數(shù)量的安全問題也可以減少攻擊者需要猜測的問題池。

4. 生物識別驗證

指紋、面部特征等生物特征在本質(zhì)上對個人來說是獨一無二的，很難復(fù)制或偽造它們。 用戶可以簡單的使用生物識別特征來驗證自己，節(jié)省時間且消除了手動輸入有誤的可能性。

5. 身份驗證應(yīng)用

以谷歌驗證器為例：

谷歌驗證器離線工作，不依賴網(wǎng)絡(luò)連接來生成身份驗證代碼，在網(wǎng)絡(luò)連接受限的情況下非常有用。 谷歌驗證器離線工作，身份驗證代碼在用戶設(shè)備上本地生成，不會通過互聯(lián)網(wǎng)傳輸，避免了身份驗證過程中身份驗證代碼被攔截或泄露的風(fēng)險。 如果安裝了谷歌驗證器的用戶移動設(shè)備在沒有備份QR碼或備份代碼的情況下丟失或遭破壞，可能會影響用戶訪問受谷歌身份驗證器保護的賬戶。

6. 圖像識別、音頻識別

圖像識別、音頻識別等認知因素對某些有認知障礙或殘疾的用戶來說可能具有挑戰(zhàn)性，可能會使他們難以訪問自己的帳戶。

綜上，雖然多因素身份驗證可以通過密碼之外的其它驗證因素來顯著提高安全性，但它并非牢不可破，并且仍然容易受到某些類型的攻擊。因此，采取額外的預(yù)防措施來增強帳戶安全性至關(guān)重要。

四、作為用戶，建議采取的預(yù)防措施

1. 預(yù)防網(wǎng)絡(luò)釣魚

以下是網(wǎng)絡(luò)釣魚消息的一些常見特征，可以幫助區(qū)分：

冒充可信來源：網(wǎng)絡(luò)釣魚郵件通常包含被冒充組織的官方標(biāo)識、顏色和其他品牌元素。通過復(fù)制可信源的視覺標(biāo)識，攻擊者試圖使消息看起來真實，并欺騙用戶相信它來自合法實體，但是，仔細檢查可能會發(fā)現(xiàn)發(fā)件人號碼或電子郵件地址略有不同。 語法或拼寫錯誤：許多網(wǎng)絡(luò)釣魚消息包含語法錯誤、拼寫錯誤。因為網(wǎng)絡(luò)釣魚通常是大規(guī)模進行，攻擊者可能不會投入太多時間或精力來校對消息，且一些網(wǎng)絡(luò)釣魚使用自動化工具來生成和分發(fā)網(wǎng)絡(luò)釣魚郵件，這些工具沒有語法和拼寫檢查檢查。但合法的組織通常有專業(yè)的撰稿人來確保他們的信息沒有這樣的錯誤。 緊迫性：釣魚消息通常會營造一種緊迫感，迫使收件人立即采取行動。它們可能會聲稱收件人的帳戶存在緊急問題，或者需要立即驗證他們的信息以防止出現(xiàn)某種形式的負面后果，又或者聲稱收件人贏得了獎品，逾期不予兌換。

建議以下預(yù)防措施：

警惕鏈接和附件：避免點擊鏈接或下載可疑郵件的附件。這些可能會導(dǎo)致虛假網(wǎng)站或惡意軟件安裝危及你的帳戶安全。 驗證發(fā)件人：仔細檢查消息中發(fā)件人的電話號碼或姓名，確保其與合法實體的官方聯(lián)系信息相符。 保持謹慎和懷疑：在收到未經(jīng)請求的消息時要保持警惕，尤其是那些要求提供個人信息或立即采取行動的消息。

2. 預(yù)防SIM卡交換攻擊

謹慎對待個人信息：避免在網(wǎng)上透露個人信息，尤其是在社交平臺上。攻擊者可以收集有關(guān)你的個人詳細信息，例如你的姓名、電話號碼、生日、地址等，他們可能會在SIM交換攻擊期間使用這些信息冒充你。

3. 使用身份驗證器進行多因素身份驗證時，牢記以下幾個注意事項

使用單獨的設(shè)備進行備份：考慮使用單獨的設(shè)備存儲每個平臺提供備份QR碼或備份代碼。這可以在主要設(shè)備丟失、損壞或不可用時提供幫助。 保護你的設(shè)備：由于身份驗證器依賴于你的移動設(shè)備，因此確保你的設(shè)備安全非常重要。設(shè)置強密碼或使用生物認證（指紋或面部識別）來防止未經(jīng)授權(quán)訪問你的設(shè)備。 確保從可信來源下載身份驗證器：下載身份驗證器最安全的方法是從官方應(yīng)用商店下載，例如適用于Android的 Google Play Store或 iOS的App Store。這些平臺采取了嚴格的安全措施來檢測和刪除惡意或假冒應(yīng)用程序。

五、作為平臺，尤其是金融和政府機構(gòu)，強烈建議使用多因素身份驗證

通過實施多因素身份驗證，金融和政府機構(gòu)可以增強用戶帳戶的安全性、保護敏感數(shù)據(jù)、在平臺和用戶之間建立信任。

六、總結(jié)

多因素身份驗證已成為必不可少的安全措施。多因素身份驗證通過要求用戶提供多種因素來驗證其身份來增加額外的安全層。這種身份驗證方法顯著降低了未經(jīng)授權(quán)訪問的風(fēng)險，特別是在金融和政府等行業(yè)。通過實施多因素身份驗證，平臺可以增強用戶帳戶的安全性、減少財務(wù)損失和欺詐、建立和用戶之間的信任。作為用戶，盡可能采用 多因素身份驗證以及額外的安全預(yù)防措施，保護我們的帳戶和敏感信息免受網(wǎng)絡(luò)犯罪分子的侵害。通過多因素身份驗證我們可以創(chuàng)建一個更安全的網(wǎng)絡(luò)環(huán)境環(huán)境并保護我們的個人信息。

感謝閱讀，以上就是本次分享的全部內(nèi)容，希望你能從這篇文章中有所收獲，后續(xù)將會持續(xù)更新。

本文由@張楚 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理，未經(jīng)許可，禁止轉(zhuǎn)載。

題圖來自 Unsplash，基于 CC0 協(xié)議。

該文觀點僅代表作者本人，人人都是產(chǎn)品經(jīng)理平臺僅提供信息存儲空間服務(wù)。

關(guān)鍵詞：