哪个两因素身份验证选项是最好的?

The Best Two-Factor Authentication Option

从表面上看,两因素身份验证(2FA)是一种无情的简单且难以置信的有效安全功能。本质上,通过实施两因素身份验证,可以确保攻击者无法仅使用用户名和密码来接管受害者的帐户。身份验证过程中还有一个附加步骤,没有该步骤将不会被授予访问权限。到目前为止,如此简单。但是,这开始变得越来越复杂。

大多数2FA系统都依赖于第二个临时密码(通常称为一次性密码或OTP),用户必须输入该密码才能解锁其帐户。在其他情况下,登录需要使用硬件设备或令牌,以证明用户有权访问该帐户。围绕哪个是更好的选择,存在着很多争论,那就是硬件令牌或OTP。还讨论了哪个是最好的硬件令牌的问题,基于OTP的2FA系统的实现方式也有所不同。换句话说,对于许多人来说,2FA提出的问题多于已回答的问题。

OTP讨论

OTP是相当强大的第二个因素,但需要正确实施。如果要使用OTP,则它们必须是唯一且随机的。如果黑客能够找出创建OTP的机制背后的算法,那么他们就可以击败整个2FA系统。如果他们有足够的时间猜测OTP,他们也可能会设法解决。出于可用性的考虑,OTP通常是4位或6位代码,可以相对容易地猜出。这就是为什么确保它们在一段合理的时间后过期很重要。当然,适当的速率限制也可以阻止攻击者强行闯入。

可以说,大多数选择基于OTP的2FA的开发人员和系统管理员都遵守这些规则,而这种特殊类型的攻击并不常见。但是,关于OTP的交付方式,情况完全不同。

您可以通过多种不同的方式将OTP交付给用户。您可以通过电子邮件,SMS或智能手机上的身份验证器应用程序来执行此操作。许多人已经对其中某些媒介的不安全感失去了冷静。例如,我们过去讨论过的短信背后的技术已经相当老旧了,理论上可以让黑客拦截OTP并绕过2FA。一段时间以来,电子邮件也被谴责为过于不安全,无法传送2FA OTP等敏感信息。

事实是,确保OTP在传输期间不会被拦截的最好方法是根本不传输它们。这就是为什么2FA移动应用程序(例如Google Authenticator)被认为是不需要额外硬件令牌的基于OTP的两要素身份验证系统的最佳选择。但是,这些应用程序的问题在于没有智能手机的用户无法使用它们。

硬件令牌是解决方案吗?

2FA应用程序的想法源于硬件令牌,这些令牌还使用复杂的加密功能来当场创建OTP。它们被称为RSA SecurID,大约只有钥匙扣大小,并具有一个小的单色LCD显示屏,可以显示当前的OTP。您可能会将此视为一种解决方案,尤其是在您的某些潜在用户没有智能手机的情况下,但仍然需要考虑一件事。一次性密码的固有漏洞是,就像普通密码一样,它们也可以被篡改。

因此,根据安全专家的观点,最安全的2FA系统依赖U2F密钥-硬件令牌,而不是生成和显示OTP而是直接与您的计算机或移动设备通信并自动对您进行身份验证的硬件令牌。它们足够小,可以放在钥匙圈上随身携带,没有电池,而且其中一些依赖于无线技术意味着认证通常是即时的。由于不需要用户输入OTP,因此就可用性和安全性而言,这被认为是最佳方法。不过,它仍然不完美。

与2FA应用程序,电子邮件以及大多数情况下的短信不同,U2F密钥不是免费的。这项投资并不算大,但可悲的事实是,大多数用户并不特别热衷于支付安全性,即使合理的价格也足以成为他们的障碍。显然,还存在丢失小令牌的问题。

如何为您的服务选择最合适的2FA实现?

总而言之,没有“完美的2FA”之类的东西。某些实现比其他实现更安全,但是它们都有各自不同的问题,这意味着,如果您要运行在线服务,则必须根据用户,他们的需求,及其威胁模型。为了获得更大的灵活性,大多数服务提供商允许人们从几个不同选项的列表中选择他们想要使用的2FA实施,考虑到用户群的多样性,这也许是最合理的方法。

但是,请确保您不要忘记一件事–即使最不安全的2FA也要比没有2FA更好。

April 16, 2020
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。