多因素身份验证（MFA）强化帐户安全性

MFA 涉及人们生活的方方面面，验证的方式也是多种多样。本篇文章作者将从 MFA 常用的六种常用方式分析其中的优劣，提供应对措施，希望能对大家有所帮助。

一、什么是多因素身份验证 (MFA)？

MFA是一种身份验证方法，它为传统的基于密码的身份验证过程增加了一层额外的保护。MFA要求用户提供至少两个身份验证因素，以证明其身份并获得对系统或应用程序的访问权限。

二、MFA中常用的因素包括

1. 知识因素

知识因素是只有用户自己知道的信息，例如用户名、密码、短信验证码、电子邮件验证码、安全问题等。

2. 拥有因素

拥有因素是只有用户拥有的实体物体，例如安装了身份验证应用程序的移动设备等。

3. 固有因素

固有因素是用户所独有的物理特征，例如一个人的指纹、面部特征等。

4. 行为因素

行为因素是基于用户的行为模式验证其身份，例如用户通常登录的位置、IP地址、时间、设备等。

5. 认知因素

认知因素是基于用户的认知能力验证其身份，例如滑动拼合拼图、正确识别扭曲的字母或数字、音频识别等。

三、各因素优劣分析

1. 短信验证码

• 受到SIM卡交换攻击，攻击者首先获取有关用户的个人信息，例如他们的姓名、电话号码、帐户详细信息，然后联系受害者的移动网络提供商，声称丢失或损坏了他们的SIM卡，攻击者提供用户的个人信息作为身份证明，并要求将用户的电话号码转移到受攻击者控制的新SIM卡上，一旦控制了用户的电话号码，他们就可以接收短信验证码并获得对用户帐户的未授权访问。
• 受到短信钓鱼攻击，攻击者发送一条看似来自可信来源的欺诈消息，该消息提示用户单击链接或提供个人信息请求，例如登录凭据或验证码。如果用户上当受骗并提供请求的信息，攻击者就会捕获这些信息，然后使用它来获得对用户帐户的未授权访问。
• 验证短信需要移动网络连接，如果用户所在的区域移动网络覆盖较差或完全没有覆盖，他们可能延迟或无法接收验证短信，导致他们无法登录或高效登录。

2. 电子邮件验证码

• 如果用户使用邮箱帐户注册平台帐户，并为两个帐户设置相同的密码，攻击者破解邮箱帐户密码就可以获得邮箱验证码并使用它来获得对平台帐户的未授权访问。
• 受到网络钓鱼攻击，攻击者发送一条看似来自可信来源的欺诈性电子邮件，以诱骗收件人提供个人敏感信息，例如登录凭据或验证码。如果用户上当受骗并提供请求的信息，攻击者就会捕获这些信息，然后使用它来获得对用户帐户的未授权访问。
• 验证步骤繁琐，用户需要在不同的应用程序（例如，邮箱应用和用户试图访问的应用）或设备之间切换完成验证过程。
• 电子邮件的发送和接收可能会延迟或最终进入垃圾邮件箱。

3. 安全问题

• 缺乏保密性，个人信息经常通过各种在线平台、社交媒体或数据泄露而被共享或暴露，这使得攻击者很容易收集个人信息绕过安全问题并获得对用户帐户的未授权访问。
• 问题数量有限，用户只能从平台预先提供的有限的问题池中进行选择，可能很难选择对他们来说真正独特且难忘的问题。此外，有限数量的安全问题也可以减少攻击者需要猜测的问题池。

4. 生物识别验证

• 指纹、面部特征等生物特征在本质上对个人来说是独一无二的，很难复制或伪造它们。
• 用户可以简单的使用生物识别特征来验证自己，节省时间且消除了手动输入有误的可能性。

5. 身份验证应用

以谷歌验证器为例：

• 谷歌验证器离线工作，不依赖网络连接来生成身份验证代码，在网络连接受限的情况下非常有用。
• 谷歌验证器离线工作，身份验证代码在用户设备上本地生成，不会通过互联网传输，避免了身份验证过程中身份验证代码被拦截或泄露的风险。
• 如果安装了谷歌验证器的用户移动设备在没有备份QR码或备份代码的情况下丢失或遭破坏，可能会影响用户访问受谷歌身份验证器保护的账户。

6. 图像识别、音频识别

• 图像识别、音频识别等认知因素对某些有认知障碍或残疾的用户来说可能具有挑战性，可能会使他们难以访问自己的帐户。

综上，虽然多因素身份验证可以通过密码之外的其它验证因素来显著提高安全性，但它并非牢不可破，并且仍然容易受到某些类型的攻击。因此，采取额外的预防措施来增强帐户安全性至关重要。

四、作为用户，建议采取的预防措施

1. 预防网络钓鱼

以下是网络钓鱼消息的一些常见特征，可以帮助区分：

• 冒充可信来源：网络钓鱼邮件通常包含被冒充组织的官方标识、颜色和其他品牌元素。通过复制可信源的视觉标识，攻击者试图使消息看起来真实，并欺骗用户相信它来自合法实体，但是，仔细检查可能会发现发件人号码或电子邮件地址略有不同。
• 语法或拼写错误：许多网络钓鱼消息包含语法错误、拼写错误。因为网络钓鱼通常是大规模进行，攻击者可能不会投入太多时间或精力来校对消息，且一些网络钓鱼使用自动化工具来生成和分发网络钓鱼邮件，这些工具没有语法和拼写检查检查。但合法的组织通常有专业的撰稿人来确保他们的信息没有这样的错误。
• 紧迫性：钓鱼消息通常会营造一种紧迫感，迫使收件人立即采取行动。它们可能会声称收件人的帐户存在紧急问题，或者需要立即验证他们的信息以防止出现某种形式的负面后果，又或者声称收件人赢得了奖品，逾期不予兑换。

建议以下预防措施：

• 警惕链接和附件：避免点击链接或下载可疑邮件的附件。这些可能会导致虚假网站或恶意软件安装危及你的帐户安全。
• 验证发件人：仔细检查消息中发件人的电话号码或姓名，确保其与合法实体的官方联系信息相符。
• 保持谨慎和怀疑：在收到未经请求的消息时要保持警惕，尤其是那些要求提供个人信息或立即采取行动的消息。

2. 预防SIM卡交换攻击

• 谨慎对待个人信息：避免在网上透露个人信息，尤其是在社交平台上。攻击者可以收集有关你的个人详细信息，例如你的姓名、电话号码、生日、地址等，他们可能会在SIM交换攻击期间使用这些信息冒充你。

3. 使用身份验证器进行多因素身份验证时，牢记以下几个注意事项

• 使用单独的设备进行备份：考虑使用单独的设备存储每个平台提供备份QR码或备份代码。这可以在主要设备丢失、损坏或不可用时提供帮助。
• 保护你的设备：由于身份验证器依赖于你的移动设备，因此确保你的设备安全非常重要。设置强密码或使用生物认证（指纹或面部识别）来防止未经授权访问你的设备。
• 确保从可信来源下载身份验证器：下载身份验证器最安全的方法是从官方应用商店下载，例如适用于Android的 Google Play Store或 iOS的App Store。这些平台采取了严格的安全措施来检测和删除恶意或假冒应用程序。

五、作为平台，尤其是金融和政府机构，强烈建议使用多因素身份验证

通过实施多因素身份验证，金融和政府机构可以增强用户帐户的安全性、保护敏感数据、在平台和用户之间建立信任。

六、总结

多因素身份验证已成为必不可少的安全措施。多因素身份验证通过要求用户提供多种因素来验证其身份来增加额外的安全层。这种身份验证方法显着降低了未经授权访问的风险，特别是在金融和政府等行业。通过实施多因素身份验证，平台可以增强用户帐户的安全性、减少财务损失和欺诈、建立和用户之间的信任。作为用户，尽可能采用 多因素身份验证以及额外的安全预防措施，保护我们的帐户和敏感信息免受网络犯罪分子的侵害。通过多因素身份验证我们可以创建一个更安全的网络环境环境并保护我们的个人信息。

感谢阅读，以上就是本次分享的全部内容，希望你能从这篇文章中有所收获，后续将会持续更新。

​Read More