【51CTO.com快譯】您一定聽(tīng)說(shuō)過(guò)雙因素身份認(rèn)證的概念及其優(yōu)勢(shì)吧?它需要您輸入除了密碼以外的其他身份特征，并通過(guò)認(rèn)證的方式，才能解鎖并登陸您的在線帳戶。在實(shí)際應(yīng)用中，我們可以有多種方式來(lái)實(shí)現(xiàn)雙因素身份認(rèn)證。本文將和您一起探討各種雙因素身份認(rèn)證方式的優(yōu)缺點(diǎn)，以方便您根據(jù)實(shí)際情況作出選擇。

雙因素身份認(rèn)證與兩步身份認(rèn)證

在開(kāi)始深入討論之前，讓我們先花一點(diǎn)時(shí)間來(lái)厘清雙因素身份認(rèn)證和兩步身份認(rèn)證之間的區(qū)別。它們既有相似之處，又不盡相同。

雙因素身份認(rèn)證是使用兩種不同類(lèi)型的認(rèn)證方式保護(hù)用戶的帳戶。也就是說(shuō)，您必須提供下面三種要素中的兩種：

• 您知道什么：諸如密碼信息、或是安全問(wèn)題的答案。
• 您擁有什么：例如，您持有智能手機(jī)、或是其他物理設(shè)備。
• 您是誰(shuí)：諸如指紋或虹膜之類(lèi)的身體特征。

因此，真正的雙因素身份認(rèn)證意味著您必須持有上述兩種不同的因素，才能通過(guò)認(rèn)證完成登錄。

而如果您的帳戶只是受到上述三種因素中同一種類(lèi)型的兩個(gè)“鎖”的保護(hù)，那只能稱(chēng)為兩步身份認(rèn)證。例如：密碼信息和安全性問(wèn)題的答案都是您所知道的，只是在身份認(rèn)證過(guò)程分為了兩個(gè)步驟，而不是兩個(gè)因素。雖然它相比單一密碼的保護(hù)效果較強(qiáng)，但是仍然達(dá)不到雙因素身份認(rèn)證的效果。

下面我們來(lái)探討六種常見(jiàn)的雙因素認(rèn)證方式的優(yōu)缺點(diǎn)：

方式1：安全問(wèn)題

作為大家比較收悉的一種方式：我們?cè)趧?chuàng)建帳戶時(shí)，可以選取一到多個(gè)安全問(wèn)題，并事先為每個(gè)問(wèn)題設(shè)置好相應(yīng)的答案。后續(xù)在使用該帳戶登錄的時(shí)候，我們必須針對(duì)每一個(gè)問(wèn)題提供正確的答案，方可完成身份驗(yàn)證以及訪問(wèn)授權(quán)。

(1) 安全問(wèn)題的優(yōu)點(diǎn)

安全問(wèn)題本身非常容易被設(shè)置。在大多數(shù)情況下，我們只需從一個(gè)下拉菜單中，選擇便于記憶且能夠給出確定回答的問(wèn)題即可。而且我們不需要任何其他設(shè)備，畢竟那些答案就儲(chǔ)存在我們的腦海中。

(2) 安全問(wèn)題的缺點(diǎn)

許多安全問(wèn)題的答案很容易被推敲出來(lái)。例如：人們可以在公共記錄、或社交媒體上找到諸如：父親的姓氏、或是您所在的街道等的信息。也就是說(shuō)，我們很容易通過(guò)社會(huì)工程(例如：網(wǎng)絡(luò)釣魚(yú)電子郵件或電話)，意外地泄露此類(lèi)敏感信息。

要解決安全問(wèn)題的缺點(diǎn)，您可以通過(guò)輸入亂碼，來(lái)有效地使其成為自己的“第二密碼”。當(dāng)然，您必須小心，以避免丟失或遺忘它們。因此，您可以適當(dāng)?shù)剡x用密碼管理器來(lái)予以保護(hù)。

方式2：短信或電子郵件

另一種常見(jiàn)的方式是：在您創(chuàng)建帳戶的時(shí)候，提供某個(gè)常用的手機(jī)號(hào)碼。而當(dāng)您再次登錄時(shí)，系統(tǒng)會(huì)通過(guò)短信或電子郵件向您發(fā)送驗(yàn)證代碼。這是一個(gè)臨時(shí)的驗(yàn)證碼，它會(huì)在較短的時(shí)間內(nèi)(如：1~5分鐘)過(guò)期。因此，您必須及時(shí)將它輸入并提交，才能完成登錄。

(1) 短信郵件驗(yàn)證的優(yōu)點(diǎn)

只要您手頭有能夠接受短信或電子郵件的設(shè)備，便可在代碼發(fā)出后的幾分鐘之內(nèi)接收到。而且此類(lèi)設(shè)備通常比較便宜。當(dāng)然，如果您丟失了該設(shè)備，通常也可以通過(guò)重發(fā)手機(jī)卡號(hào)等方式，從另一臺(tái)設(shè)備上繼續(xù)接收到相關(guān)的代碼信息。

(2) 短信郵件身份認(rèn)證的缺點(diǎn)

該方式的運(yùn)作前提是：您必須充分信任需要登錄的系統(tǒng)服務(wù)。也就是說(shuō)，一些信譽(yù)不佳的服務(wù)提供商，可能會(huì)將您的電話號(hào)碼用于其他廣告營(yíng)銷(xiāo)目的。另一方面，如果某個(gè)區(qū)域的移動(dòng)網(wǎng)絡(luò)信號(hào)不佳、甚至沒(méi)有服務(wù)的話，您可能無(wú)法接收到相應(yīng)的登錄代碼。

此外，短信和電子郵件的通信信道不一定會(huì)被安全加密，因此一些技術(shù)高超的黑客可以扮演“中間人(MIM)”的角色，在無(wú)需接觸到接收設(shè)備的情況下，輕而易舉地以電磁攔截等方式獲悉代碼的具體內(nèi)容。

方式3：基于時(shí)間的一次性密碼(One-Time Password，OTP)

如上圖所示，如果有條件的話，我們可以使用身份認(rèn)證應(yīng)用程序(請(qǐng)參見(jiàn)： https://www.makeuseof.com/tag/5-best-alternatives-google-authenticator/)，掃描某個(gè)包含密鑰的二維碼(QR)。據(jù)此，密鑰會(huì)被加載到該應(yīng)用之中，并生成定期變化的臨時(shí)密碼。你通過(guò)將該密碼輸入頁(yè)面，便可完成登錄所需的認(rèn)證。

(1) 一次性密碼的好處

在將帳戶添加入身份認(rèn)證應(yīng)用之后，您完全可以在移動(dòng)網(wǎng)絡(luò)服務(wù)的情況下訪問(wèn)它們。由于密鑰存儲(chǔ)在設(shè)備之中，因此不會(huì)像短信那樣被截獲。而且，如果您使用的是諸如Authy的身份認(rèn)證應(yīng)用，則可以在多個(gè)設(shè)備之間同步密碼，以有效地避免單一設(shè)備的局限性。

(2) 一次性密碼的缺點(diǎn)

如果手機(jī)電池的電量耗盡，那么您將無(wú)法訪問(wèn)到驗(yàn)證碼(當(dāng)然短信的方式也有此局限性)。由于設(shè)備需要花時(shí)間來(lái)生成代碼，因此如果設(shè)備和服務(wù)之間的時(shí)鐘不同步的話，則會(huì)導(dǎo)致代碼的無(wú)效。這恐怕就是為什么我們需要始終將密碼打印服務(wù)，作為一種緊急的備用登錄方式的原因。

雖然可能性很小，但是如果黑客以某種方式克隆了您的密鑰，那么他就可以隨意生成自己的有效代碼。而且，如果該登錄服務(wù)不限制登錄嘗試的失敗次數(shù)的話，那么黑客也可能會(huì)通過(guò)蠻力破解的方式，來(lái)窮舉您的帳戶密碼。

方式4：U2F鑰匙

[[323686]]

通用雙因素(Universal 2nd Factor，U2F)是一種開(kāi)放的標(biāo)準(zhǔn)，可被用于USB設(shè)備、NFC設(shè)備、以及智能卡中。在身份認(rèn)證的過(guò)程中，您只需插入U(xiǎn)SB密鑰，碰一碰NFC設(shè)備、或是滑一下智能卡即可。

(1) U2F的優(yōu)點(diǎn)

作為一種真正獨(dú)立的物理介質(zhì)，U2F鑰匙只要得到了妥善的保管，就不會(huì)被黑客進(jìn)行數(shù)字?jǐn)r截或重定向。與大多數(shù)雙因素方式不同，由于只對(duì)注冊(cè)過(guò)的賬戶生效，因此U2F鑰匙能夠有效地應(yīng)對(duì)網(wǎng)絡(luò)釣魚(yú)類(lèi)攻擊。它可謂當(dāng)前最安全的雙因素身份認(rèn)證(2FA)方式之一。

(2) U2F的缺點(diǎn)

由于相對(duì)較新，因此U2F鑰匙的應(yīng)用范圍并不太廣泛。U2F鑰匙的另一個(gè)主要缺點(diǎn)是設(shè)備上的USB接口類(lèi)型并不通用(請(qǐng)參見(jiàn)：https://www.makeuseof.com/tag/understanding-usb-cable-types-one-use/)。如果您擁有一個(gè)帶有USB-A接口的U2F鑰匙，那么在沒(méi)有適配器的情況下，它將無(wú)法被插到Android、iPhone或最新的MacBook上使用。

U2F鑰匙的起價(jià)為20美元左右。同時(shí)它提供了一種堅(jiān)固耐用的高級(jí)版。雖然高端的U2F鑰匙內(nèi)置了NFC，以方便您在移動(dòng)設(shè)備上直接使用它們，但是其售價(jià)比較昂貴。

方式5：推送通知(Push Notification)

在某些平臺(tái)上，當(dāng)您輸入了密碼之后，會(huì)在設(shè)備上收到包含相關(guān)登錄嘗試通知的推送消息。您只需在設(shè)備上點(diǎn)擊批準(zhǔn)或拒絕，便可響應(yīng)請(qǐng)求。

(1) 推送通知的好處

推送通知顯然比先打開(kāi)身份認(rèn)證應(yīng)用，再?gòu)?fù)制代碼的操作要方便得多。此類(lèi)通知通常會(huì)包含有關(guān)：誰(shuí)在何種設(shè)備類(lèi)型上，通過(guò)哪個(gè)IP地址，以及在哪里正在嘗試登錄等信息。這些通知類(lèi)報(bào)警對(duì)于正在發(fā)生的惡意登錄嘗試，將十分及時(shí)且有效。

此外，由于推送通知能夠與您的手機(jī)綁定在一起，因此它巧妙地避開(kāi)了黑客復(fù)制您的密碼，或竊取短信內(nèi)容的風(fēng)險(xiǎn)。當(dāng)然，我們也需要隨身攜帶著此類(lèi)設(shè)備才能保證正常的登錄。

(2) 推送通知的缺點(diǎn)

與前面不同，推送通知的認(rèn)證方式要求您的手機(jī)設(shè)備能夠連接到互聯(lián)網(wǎng)上。也就是說(shuō)：如果您沒(méi)有移動(dòng)數(shù)據(jù)連接，且并未連接到Wi-Fi上的話，將無(wú)法收到推送過(guò)來(lái)的登錄提示。此外，在您忙碌或精神不集中時(shí)，有可能會(huì)忽略推送中提示，或在未經(jīng)思考的情況下批準(zhǔn)了陌生的登錄驗(yàn)證請(qǐng)求。

方式6：生物識(shí)別(面部、語(yǔ)音或指紋)

[[323687]]

面部識(shí)別、語(yǔ)音識(shí)別和指紋掃描都屬于生物識(shí)別的類(lèi)型。它們往往被運(yùn)用在某些需要安全檢查的區(qū)域(例如：政府)，以確定訪客的真實(shí)身份。

(1) 生物識(shí)別技術(shù)的優(yōu)勢(shì)

生物識(shí)別技術(shù)極難被破解。即使是最容易復(fù)制的指紋，也需要與指紋所有者進(jìn)行某種的物理接觸才能獲取。語(yǔ)音識(shí)別往往需要通過(guò)您的語(yǔ)音說(shuō)出某段文字，而面部識(shí)別更是需要臉部上的多個(gè)特征點(diǎn)去比對(duì)已登記的樣本信息。

(2) 生物識(shí)別技術(shù)的缺點(diǎn)

人們?cè)诿鎸?duì)生物識(shí)別技術(shù)的時(shí)候，往往會(huì)心存顧慮，生怕此類(lèi)“高科技”可能會(huì)對(duì)自己的某些器官造成損傷。同時(shí)，他們也害怕這些與生俱來(lái)的生命特征，會(huì)被認(rèn)證技術(shù)采集后泄露出去，進(jìn)而給自己的生活造成巨大的困擾。

當(dāng)然，生物識(shí)別技術(shù)在面對(duì)多樣性的人體特征時(shí)，也有可能產(chǎn)生“誤判”。此類(lèi)錯(cuò)誤率往往和技術(shù)實(shí)現(xiàn)的成本及造價(jià)有著密切的關(guān)系。

多重身份認(rèn)證的選擇

綜上所述，各種雙因素身份認(rèn)證方式可謂各有利弊。究竟該如何取舍?其實(shí)還是取決于您的真實(shí)場(chǎng)景需求。在此，我們僅給出過(guò)往項(xiàng)目的經(jīng)驗(yàn)和建議：

• 如果是為了獲得最大的安全性和私密性，您可以選用U2F鑰匙。它們既不會(huì)被跟蹤，又不會(huì)泄露個(gè)人信息。不過(guò)您需要花錢(qián)購(gòu)買(mǎi)U2F鑰匙，而且可能要隨身攜帶。
• 如果是為了方便起見(jiàn)，您最好選用短信或郵件。該方式雖然比單步身份認(rèn)證更快、更容易使用，但是您可能會(huì)碰到信號(hào)不佳，以及消息被截獲的潛在危險(xiǎn)。
• 如果想達(dá)到上述兩方面的平衡，您最好使用身份認(rèn)證應(yīng)用、以及基于時(shí)間的一次性密碼。不過(guò)，您必須小心地保留和備份機(jī)密性的代碼，以防止設(shè)備的丟失或損壞。您也可以使用Authy，在多臺(tái)設(shè)備上實(shí)現(xiàn)同步與登錄。
• 如果您想實(shí)時(shí)獲悉登錄的嘗試，則可以選用推送通知。當(dāng)然，您需要在確保使用的時(shí)候，具有穩(wěn)定的互聯(lián)網(wǎng)連接，并能夠認(rèn)真地查看推送過(guò)來(lái)的消息內(nèi)容。

原文標(biāo)題：The Pros and Cons of Two-Factor Authentication Types and Methods ，作者：Ben Stegner

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】