MFA 涉及人們生活的方方面面，驗(yàn)證的方式也是多種多樣。本篇文章作者將從 MFA 常用的六種常用方式分析其中的優(yōu)劣，提供應(yīng)對(duì)措施，希望能對(duì)大家有所幫助。

一、什么是多因素身份驗(yàn)證 (MFA)？

MFA是一種身份驗(yàn)證方法，它為傳統(tǒng)的基于密碼的身份驗(yàn)證過(guò)程增加了一層額外的保護(hù)。MFA要求用戶提供至少兩個(gè)身份驗(yàn)證因素，以證明其身份并獲得對(duì)系統(tǒng)或應(yīng)用程序的訪問(wèn)權(quán)限。

【資料圖】

二、MFA中常用的因素包括

1. 知識(shí)因素

知識(shí)因素是只有用戶自己知道的信息，例如用戶名、密碼、短信驗(yàn)證碼、電子郵件驗(yàn)證碼、安全問(wèn)題等。

2. 擁有因素

擁有因素是只有用戶擁有的實(shí)體物體，例如安裝了身份驗(yàn)證應(yīng)用程序的移動(dòng)設(shè)備等。

3. 固有因素

固有因素是用戶所獨(dú)有的物理特征，例如一個(gè)人的指紋、面部特征等。

4. 行為因素

行為因素是基于用戶的行為模式驗(yàn)證其身份，例如用戶通常登錄的位置、IP地址、時(shí)間、設(shè)備等。

5. 認(rèn)知因素

認(rèn)知因素是基于用戶的認(rèn)知能力驗(yàn)證其身份，例如滑動(dòng)拼合拼圖、正確識(shí)別扭曲的字母或數(shù)字、音頻識(shí)別等。

三、各因素優(yōu)劣分析

1. 短信驗(yàn)證碼

受到SIM卡交換攻擊，攻擊者首先獲取有關(guān)用戶的個(gè)人信息，例如他們的姓名、電話號(hào)碼、帳戶詳細(xì)信息，然后聯(lián)系受害者的移動(dòng)網(wǎng)絡(luò)提供商，聲稱(chēng)丟失或損壞了他們的SIM卡，攻擊者提供用戶的個(gè)人信息作為身份證明，并要求將用戶的電話號(hào)碼轉(zhuǎn)移到受攻擊者控制的新SIM卡上，一旦控制了用戶的電話號(hào)碼，他們就可以接收短信驗(yàn)證碼并獲得對(duì)用戶帳戶的未授權(quán)訪問(wèn)。 受到短信釣魚(yú)攻擊，攻擊者發(fā)送一條看似來(lái)自可信來(lái)源的欺詐消息，該消息提示用戶單擊鏈接或提供個(gè)人信息請(qǐng)求，例如登錄憑據(jù)或驗(yàn)證碼。如果用戶上當(dāng)受騙并提供請(qǐng)求的信息，攻擊者就會(huì)捕獲這些信息，然后使用它來(lái)獲得對(duì)用戶帳戶的未授權(quán)訪問(wèn)。 驗(yàn)證短信需要移動(dòng)網(wǎng)絡(luò)連接，如果用戶所在的區(qū)域移動(dòng)網(wǎng)絡(luò)覆蓋較差或完全沒(méi)有覆蓋，他們可能延遲或無(wú)法接收驗(yàn)證短信，導(dǎo)致他們無(wú)法登錄或高效登錄。

2. 電子郵件驗(yàn)證碼

如果用戶使用郵箱帳戶注冊(cè)平臺(tái)帳戶，并為兩個(gè)帳戶設(shè)置相同的密碼，攻擊者破解郵箱帳戶密碼就可以獲得郵箱驗(yàn)證碼并使用它來(lái)獲得對(duì)平臺(tái)帳戶的未授權(quán)訪問(wèn)。 受到網(wǎng)絡(luò)釣魚(yú)攻擊，攻擊者發(fā)送一條看似來(lái)自可信來(lái)源的欺詐性電子郵件，以誘騙收件人提供個(gè)人敏感信息，例如登錄憑據(jù)或驗(yàn)證碼。如果用戶上當(dāng)受騙并提供請(qǐng)求的信息，攻擊者就會(huì)捕獲這些信息，然后使用它來(lái)獲得對(duì)用戶帳戶的未授權(quán)訪問(wèn)。 驗(yàn)證步驟繁瑣，用戶需要在不同的應(yīng)用程序（例如，郵箱應(yīng)用和用戶試圖訪問(wèn)的應(yīng)用）或設(shè)備之間切換完成驗(yàn)證過(guò)程。 電子郵件的發(fā)送和接收可能會(huì)延遲或最終進(jìn)入垃圾郵件箱。

3. 安全問(wèn)題

缺乏保密性，個(gè)人信息經(jīng)常通過(guò)各種在線平臺(tái)、社交媒體或數(shù)據(jù)泄露而被共享或暴露，這使得攻擊者很容易收集個(gè)人信息繞過(guò)安全問(wèn)題并獲得對(duì)用戶帳戶的未授權(quán)訪問(wèn)。 問(wèn)題數(shù)量有限，用戶只能從平臺(tái)預(yù)先提供的有限的問(wèn)題池中進(jìn)行選擇，可能很難選擇對(duì)他們來(lái)說(shuō)真正獨(dú)特且難忘的問(wèn)題。此外，有限數(shù)量的安全問(wèn)題也可以減少攻擊者需要猜測(cè)的問(wèn)題池。

4. 生物識(shí)別驗(yàn)證

指紋、面部特征等生物特征在本質(zhì)上對(duì)個(gè)人來(lái)說(shuō)是獨(dú)一無(wú)二的，很難復(fù)制或偽造它們。 用戶可以簡(jiǎn)單的使用生物識(shí)別特征來(lái)驗(yàn)證自己，節(jié)省時(shí)間且消除了手動(dòng)輸入有誤的可能性。

5. 身份驗(yàn)證應(yīng)用

以谷歌驗(yàn)證器為例：

谷歌驗(yàn)證器離線工作，不依賴網(wǎng)絡(luò)連接來(lái)生成身份驗(yàn)證代碼，在網(wǎng)絡(luò)連接受限的情況下非常有用。 谷歌驗(yàn)證器離線工作，身份驗(yàn)證代碼在用戶設(shè)備上本地生成，不會(huì)通過(guò)互聯(lián)網(wǎng)傳輸，避免了身份驗(yàn)證過(guò)程中身份驗(yàn)證代碼被攔截或泄露的風(fēng)險(xiǎn)。 如果安裝了谷歌驗(yàn)證器的用戶移動(dòng)設(shè)備在沒(méi)有備份QR碼或備份代碼的情況下丟失或遭破壞，可能會(huì)影響用戶訪問(wèn)受谷歌身份驗(yàn)證器保護(hù)的賬戶。

6. 圖像識(shí)別、音頻識(shí)別

圖像識(shí)別、音頻識(shí)別等認(rèn)知因素對(duì)某些有認(rèn)知障礙或殘疾的用戶來(lái)說(shuō)可能具有挑戰(zhàn)性，可能會(huì)使他們難以訪問(wèn)自己的帳戶。

綜上，雖然多因素身份驗(yàn)證可以通過(guò)密碼之外的其它驗(yàn)證因素來(lái)顯著提高安全性，但它并非牢不可破，并且仍然容易受到某些類(lèi)型的攻擊。因此，采取額外的預(yù)防措施來(lái)增強(qiáng)帳戶安全性至關(guān)重要。

四、作為用戶，建議采取的預(yù)防措施

1. 預(yù)防網(wǎng)絡(luò)釣魚(yú)

以下是網(wǎng)絡(luò)釣魚(yú)消息的一些常見(jiàn)特征，可以幫助區(qū)分：

冒充可信來(lái)源：網(wǎng)絡(luò)釣魚(yú)郵件通常包含被冒充組織的官方標(biāo)識(shí)、顏色和其他品牌元素。通過(guò)復(fù)制可信源的視覺(jué)標(biāo)識(shí)，攻擊者試圖使消息看起來(lái)真實(shí)，并欺騙用戶相信它來(lái)自合法實(shí)體，但是，仔細(xì)檢查可能會(huì)發(fā)現(xiàn)發(fā)件人號(hào)碼或電子郵件地址略有不同。 語(yǔ)法或拼寫(xiě)錯(cuò)誤：許多網(wǎng)絡(luò)釣魚(yú)消息包含語(yǔ)法錯(cuò)誤、拼寫(xiě)錯(cuò)誤。因?yàn)榫W(wǎng)絡(luò)釣魚(yú)通常是大規(guī)模進(jìn)行，攻擊者可能不會(huì)投入太多時(shí)間或精力來(lái)校對(duì)消息，且一些網(wǎng)絡(luò)釣魚(yú)使用自動(dòng)化工具來(lái)生成和分發(fā)網(wǎng)絡(luò)釣魚(yú)郵件，這些工具沒(méi)有語(yǔ)法和拼寫(xiě)檢查檢查。但合法的組織通常有專(zhuān)業(yè)的撰稿人來(lái)確保他們的信息沒(méi)有這樣的錯(cuò)誤。 緊迫性：釣魚(yú)消息通常會(huì)營(yíng)造一種緊迫感，迫使收件人立即采取行動(dòng)。它們可能會(huì)聲稱(chēng)收件人的帳戶存在緊急問(wèn)題，或者需要立即驗(yàn)證他們的信息以防止出現(xiàn)某種形式的負(fù)面后果，又或者聲稱(chēng)收件人贏得了獎(jiǎng)品，逾期不予兌換。

建議以下預(yù)防措施：

警惕鏈接和附件：避免點(diǎn)擊鏈接或下載可疑郵件的附件。這些可能會(huì)導(dǎo)致虛假網(wǎng)站或惡意軟件安裝危及你的帳戶安全。 驗(yàn)證發(fā)件人：仔細(xì)檢查消息中發(fā)件人的電話號(hào)碼或姓名，確保其與合法實(shí)體的官方聯(lián)系信息相符。 保持謹(jǐn)慎和懷疑：在收到未經(jīng)請(qǐng)求的消息時(shí)要保持警惕，尤其是那些要求提供個(gè)人信息或立即采取行動(dòng)的消息。

2. 預(yù)防SIM卡交換攻擊

謹(jǐn)慎對(duì)待個(gè)人信息：避免在網(wǎng)上透露個(gè)人信息，尤其是在社交平臺(tái)上。攻擊者可以收集有關(guān)你的個(gè)人詳細(xì)信息，例如你的姓名、電話號(hào)碼、生日、地址等，他們可能會(huì)在SIM交換攻擊期間使用這些信息冒充你。

3. 使用身份驗(yàn)證器進(jìn)行多因素身份驗(yàn)證時(shí)，牢記以下幾個(gè)注意事項(xiàng)

使用單獨(dú)的設(shè)備進(jìn)行備份：考慮使用單獨(dú)的設(shè)備存儲(chǔ)每個(gè)平臺(tái)提供備份QR碼或備份代碼。這可以在主要設(shè)備丟失、損壞或不可用時(shí)提供幫助。 保護(hù)你的設(shè)備：由于身份驗(yàn)證器依賴于你的移動(dòng)設(shè)備，因此確保你的設(shè)備安全非常重要。設(shè)置強(qiáng)密碼或使用生物認(rèn)證（指紋或面部識(shí)別）來(lái)防止未經(jīng)授權(quán)訪問(wèn)你的設(shè)備。 確保從可信來(lái)源下載身份驗(yàn)證器：下載身份驗(yàn)證器最安全的方法是從官方應(yīng)用商店下載，例如適用于Android的 Google Play Store或 iOS的App Store。這些平臺(tái)采取了嚴(yán)格的安全措施來(lái)檢測(cè)和刪除惡意或假冒應(yīng)用程序。

五、作為平臺(tái)，尤其是金融和政府機(jī)構(gòu)，強(qiáng)烈建議使用多因素身份驗(yàn)證

通過(guò)實(shí)施多因素身份驗(yàn)證，金融和政府機(jī)構(gòu)可以增強(qiáng)用戶帳戶的安全性、保護(hù)敏感數(shù)據(jù)、在平臺(tái)和用戶之間建立信任。

六、總結(jié)

多因素身份驗(yàn)證已成為必不可少的安全措施。多因素身份驗(yàn)證通過(guò)要求用戶提供多種因素來(lái)驗(yàn)證其身份來(lái)增加額外的安全層。這種身份驗(yàn)證方法顯著降低了未經(jīng)授權(quán)訪問(wèn)的風(fēng)險(xiǎn)，特別是在金融和政府等行業(yè)。通過(guò)實(shí)施多因素身份驗(yàn)證，平臺(tái)可以增強(qiáng)用戶帳戶的安全性、減少財(cái)務(wù)損失和欺詐、建立和用戶之間的信任。作為用戶，盡可能采用 多因素身份驗(yàn)證以及額外的安全預(yù)防措施，保護(hù)我們的帳戶和敏感信息免受網(wǎng)絡(luò)犯罪分子的侵害。通過(guò)多因素身份驗(yàn)證我們可以創(chuàng)建一個(gè)更安全的網(wǎng)絡(luò)環(huán)境環(huán)境并保護(hù)我們的個(gè)人信息。

感謝閱讀，以上就是本次分享的全部?jī)?nèi)容，希望你能從這篇文章中有所收獲，后續(xù)將會(huì)持續(xù)更新。

本文由@張楚 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理，未經(jīng)許可，禁止轉(zhuǎn)載。

題圖來(lái)自 Unsplash，基于 CC0 協(xié)議。

該文觀點(diǎn)僅代表作者本人，人人都是產(chǎn)品經(jīng)理平臺(tái)僅提供信息存儲(chǔ)空間服務(wù)。

關(guān)鍵詞：