不是所有的多重身份驗證方法都一樣
“兩步驗證”、“強壯驗證”、“2重身份認證”、“多重身份驗證”,這些名詞現在已經被很多人所熟知。以多重身份驗證(MFA)為例,這是一種為了保護使用者隱私和簡化密碼輸入的手段,使用者需要在輸入密碼後再至少新增一種身份認證資訊。這些認證資訊可以是一個標記,指紋或虹膜,也可以是密碼提示資訊等。隨著密碼盜竊在網路安全領域日益嚴重,市場上也出現了各種多重身份驗證方法,那麼這些驗證方法或手段是不是都同等有效?
答案是否定的。由於多重身份驗證的手段和方法很多,一些方法比另外一些安全性更高,以下列舉了一些常用的多重身份驗證方法:
1、一次性簡訊驗證碼(OTPs)。這是一種普遍用於2重身份驗證的方法。通常會發送一個隨機6位數到使用者的手機上,理論上只有擁有該手機號碼的機主才能通過驗證。當然,實際並不如此。例如2018年6月Reddit網站被爆出的資料洩露就是通過攔截簡訊實現的,儘管黑客沒有獲取到使用者的隱私資訊,但是說明了簡訊驗證碼沒有想象中的安全可靠。黑客可以通過中途攔截簡訊或在使用者手機上安裝惡意軟體,將收到的驗證碼簡訊轉發到攻擊者的手機上就能成功實現。還有黑客可以通過社會工程手段從手機運營商處重新獲取一張該號碼的SIM卡便可以接收簡訊驗證碼。2016年起,美國國家標準與技術研究院(NIST)已經不再將簡訊驗證碼作為一種安全認證方式,然而目前很多公司還在使用這種方法來進行所謂的賬戶安全驗證。
2、硬體驗證。在用的多重身份驗證方法中最古老的一種驗證方法之一,經常是以U盤的外形出現,上面有個小的液晶螢幕顯示認證資訊。硬體認證的優點是可以保護內部的唯一金鑰不被盜取,但是缺點也很明顯,使用者使用時需要隨身攜帶,價格昂貴,需要定期更新認證資訊。通常需要使用到USB介面,因此無法用於平板電腦或是手機。
3、移動驗證。這算是硬體驗證的一種升級,主要是以手機應用程式的方式出現,最大的好處是使用者不再需要隨身攜帶認證硬體,只需要在智慧手機上安裝應用程式即可。但是缺點是無法檢視內部的金鑰,啟用過程有些需要使用到谷歌的二維碼驗證。如果有人獲取了該二維碼就可以複製驗證資訊。
4、基於推送方式的驗證。移動認證和簡訊驗證的升級版。使用安全的推送技術進行身份驗證方便快捷,而且不像簡訊驗證需要接收驗證碼。推送驗證會對資訊加密,在手機上只有通過特定應用程式才能開啟,因此使用者會收到前後對應的驗證資訊,有權選擇允許或拒絕訪問。如果允許訪問,才會在使用者手機上收到唯一的簡訊驗證碼,不僅是對手機號碼的驗證,也需要對使用者手機的驗證。當然不是所有的推送驗證都能如此安全,現在也出現了可以攔截推送訊息的技術。
5、二維碼驗證。二維碼驗證的優點是不需要實時網路連線,即使處於斷網狀態也可以進行驗證操作。使用者使用相應的手機應用程式掃描二維碼後,需要輸入由應用程式生成的唯一簡訊驗證碼、時間和認證資訊。這大大方便了使用者進行驗證的過程,也是為什麼目前能夠成為流行的多重身份驗證手段的原因。畢竟多重身份驗證的目的是保障安全,方便使用者而不是變得越來越繁瑣。越麻煩的認證方式反而會讓使用者不願使用,最終導致賬戶安全性降低。
以上介紹的是5種常用的多重身份驗證方法,它們各有優缺點。不過有些觀念需要糾正一下,大多數人認為硬體驗證比移動驗證、推送驗證、二維碼驗證要更安全,其實不然。舉個例子,如果位於俄羅斯的黑客想使用盜取的密碼使用公司的VPN,被盜使用者的密碼如果是硬體驗證,那麼黑客就需要社會工程手段,比如傳送釣魚郵件或電話來誘使使用者透露自己的簡訊驗證碼。如果使用者使用的是推送驗證,這時使用者的手機上會收到類似“您的使用者名稱正在用於一臺在俄羅斯的電腦上,準備進行VPN連線,是否允許?”這時使用者便會引起警覺。
因此綜上所述,可以發現推送驗證方式是目前多重身份驗證方法中最有效的方法,但不能保證所有推送驗證都能如此縝密的進行驗證。使用者還是需要根據自己的需求和認識來選擇相應的多重身份驗證方法。