哪個兩因素身份驗證選項是最好的?
從表面上看,兩因素身份驗證(2FA)是一種無情的簡單且難以置信的有效安全功能。本質上,通過實施兩因素身份驗證,可以確保攻擊者無法僅使用用戶名和密碼來接管受害者的帳戶。身份驗證過程中還有一個附加步驟,沒有該步驟將不會被授予訪問權限。到目前為止,如此簡單。但是,這開始變得越來越複雜。
大多數2FA系統都依賴於第二個臨時密碼(通常稱為一次性密碼或OTP),用戶必須輸入該密碼才能解鎖其帳戶。在其他情況下,登錄需要使用硬件設備或令牌,以證明用戶有權訪問該帳戶。圍繞哪個是更好的選擇,存在著很多爭論,那就是硬件令牌或OTP。還討論了哪個是最好的硬件令牌的問題,基於OTP的2FA系統的實現方式也有所不同。換句話說,對於許多人來說,2FA提出的問題多於已回答的問題。
Table of Contents
OTP討論
OTP是相當強大的第二個因素,但需要正確實施。如果要使用OTP,則它們必須是唯一且隨機的。如果黑客能夠找出創建OTP的機制背後的算法,那麼他們就可以擊敗整個2FA系統。如果他們有足夠的時間猜測OTP,他們也可能會設法解決。出於可用性的考慮,OTP通常是4位或6位代碼,可以相對容易地猜出。這就是為什麼確保它們在一段合理的時間後過期很重要。當然,適當的速率限制也可以阻止攻擊者強行闖入。
可以說,大多數選擇基於OTP的2FA的開發人員和系統管理員都遵守這些規則,而這種特殊類型的攻擊並不常見。但是,關於OTP的交付方式,情況完全不同。
您可以通過多種不同的方式將OTP交付給用戶。您可以通過電子郵件,SMS或智能手機上的身份驗證器應用程序來執行此操作。許多人已經對其中某些媒介的不安全感失去了冷靜。例如,我們過去討論過的短信背後的技術已經相當老舊了,理論上可以讓黑客攔截OTP並繞過2FA。一段時間以來,電子郵件也被譴責為過於不安全,無法傳送2FA OTP等敏感信息。
事實是,確保OTP在傳輸期間不會被攔截的最好方法是根本不傳輸它們。這就是為什麼2FA移動應用程序(例如Google Authenticator)被認為是不需要額外硬件令牌的基於OTP的兩要素身份驗證系統的最佳選擇。但是,這些應用程序的問題在於沒有智能手機的用戶無法使用它們。
硬件令牌是解決方案嗎?
2FA應用程序的想法源於硬件令牌,這些令牌還使用複雜的加密功能來當場創建OTP。它們被稱為RSA SecurID,大約只有鑰匙扣大小,並具有一個小的單色LCD顯示屏,可以顯示當前的OTP。您可能會將此視為一種解決方案,尤其是在您的某些潛在用戶沒有智能手機的情況下,但仍然需要考慮一件事。一次性密碼的固有漏洞是,就像普通密碼一樣,它們也可以被篡改。
因此,根據安全專家的觀點,最安全的2FA系統依賴U2F密鑰-硬件令牌,而不是生成和顯示OTP而是直接與您的計算機或移動設備通信並自動對您進行身份驗證的硬件令牌。它們足夠小,可以放在鑰匙圈上隨身攜帶,沒有電池,而且其中一些依賴於無線技術意味著認證通常是即時的。由於不需要用戶輸入OTP,因此就可用性和安全性而言,這被認為是最佳方法。不過,它仍然不完美。
與2FA應用程序,電子郵件以及大多數情況下的短信不同,U2F密鑰不是免費的。這項投資並不算大,但可悲的事實是,大多數用戶並不特別熱衷於支付安全性,即使合理的價格也足以成為他們的障礙。顯然,還存在丟失小令牌的問題。
如何為您的服務選擇最合適的2FA實現?
總而言之,沒有“完美的2FA”之類的東西。某些實現比其他實現更安全,但是它們都有各自不同的問題,這意味著,如果您要運行在線服務,則必鬚根據用戶,他們的需求,及其威脅模型。為了獲得更大的靈活性,大多數服務提供商允許人們從幾個不同選項的列表中選擇他們想要使用的2FA實施,考慮到用戶群的多樣性,這也許是最合理的方法。
但是,請確保您不要忘記一件事–即使最不安全的2FA也要比沒有2FA更好。
