网络安全 | 什么是双因子认证2FA?

2024-04-07 03:36
文章标签 认证 网络安全 因子 2fa

本文主要是介绍网络安全 | 什么是双因子认证2FA?,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

双因子认证2FA

关注WX: CodingTechWork

介绍

概念

  1. 双因子认证 (2FA),顾名思义,2个因子进行认证。
  2. 2FA是一种身份验证方法,要求用户提供密码和另一个认证因子或者至少提供两个认证因子(代替密码),才能访问网站、应用程序或网络。
  3. 由于破解第二个认证因子需要付出更多,并且其他类型的因子更难以窃取或伪造,因此 2FA 可提高帐户安全性,并更好地保护组织及其用户免遭未经授权的访问。
  4. 2FA 是一种最常用多因子认证 (MFA) ,要求用户提供密码和至少一个认证因子或至少提供两个认证因子来代替密码。

示例

  1. 银行账密+短信验证码:网上银行应用程序要求用户输入密码和通过短信发送到手机上的验证码时,就使用了2FA。
  2. 堡垒机账密+Authenticator:一些堡垒机除了账密,还需要动态验证码的认证。

降低未授权访问风险

  1. 黑客需要破解的不仅是一个而是两个因子。
  2. 2FA 需要的至少一个因子比密码更难破解。

认证因子类型

知识因子

  1. 知识因子即为用户知道的信息
  2. 知识因子一般是第一个认证因子。从理论上说,知识因子是只有用户知道的一些信息。
  3. 密码是最常见的知识因子;其他知识因子还包括个人身份识别码 (PIN) 和回答安全问题。
  4. 知识因子是最容易受到攻击的认证因子,尤其是密码。
  5. 黑客可以通过以下方式获取密码和其他知识因子:网络钓鱼攻击;在用户设备上安装击键记录器或间谍软件;或者运行脚本或机器人来生成和测试潜在密码,直至找到适用的密码。
  6. 破解其他知识因子的难度并不大。一些安全问题的答案,例如,“你的父亲姓什么?”, 可以通过基础研究或社会工程攻击轻松破解,方法是黑客诱骗用户泄露个人信息。 其他安全问题:例如,“你的出生地是哪里?”, 可能相对容易被猜到。
  7. 输入密码和回答安全问题的仍然是普遍做法 ,这是知识因子,而不是2FA;属于两步认证。真正的 2FA 要求两种不同的类型的认证因子。

占有因子

  1. 占有因子即为用户拥有的东西
  2. 占有因子是用户随身携带的包含认证所需信息的物理对象。 占有因子分为两种:软件令牌和硬件令牌。
  3. 软件令牌:如今,大多数软件令牌都是一次性密码 (OTP) — 通过 SMS 文本消息(或电子邮件或语音消息)发送到用户手机的有时效的 4 到 8 位数密码,或者由手机上安装的认证应用程序生成。认证应用程序可在没有互联网或手机网络连接的情况下生成令牌。用户通过扫描服务提供商显示的二维码将应用程序与帐户配对;然后,应用程序会为每个帐户持续生成基于时间的一次性密码 OTP (TOTP) 或其他软件令牌,通常每 30-60 秒生成一次。最常用的认证应用程序包括 Google Authenticator、Authy、Microsoft Authenticator、LastPass Authenticator 和 Duo,这些都使用推送通知而不是 TOTP。
  4. 硬件令牌:将密钥卡、身份证、硬件加密锁等专用设备作为安全密钥使用。一些硬件令牌插入计算机的 USB 端口,并将认证信息传输到登录页面;还有一些会生成安全代码,供用户在出现提示时手动输入。
  5. 与知识因子相比,占有因子具有多项优势。黑客为了冒充用户,在登录时,需要拥有物理设备或拦截对设备的传输,才能在 OTP 或 TOTP 过期之前获取。
  6. 占有因子并非不可破解。 物理令牌和智能手机可能会被盗或放错位置。 虽然 OTP 和 TOTP 比传统密码更难窃取,但它们仍然容易受到复杂的网络钓鱼或中间人攻击。 OTP 容易受到"SIM 克隆"的影响,这种攻击会创建受害者智能手机 SIM 卡的功能副本。

固有因子

  1. 固有因子即为用户作为人所独有的特征
  2. 固有因子(也称为生物特征)是用户独有的物理特征,例如指纹、声音、面部特征或虹膜和视网膜图案。许多移动设备都可以使用指纹或面部识别来解锁;而一些计算机可以使用指纹将密码输入到网站或应用程序中。
  3. 固有因子是最难破解的因子:因为它们不会被遗忘、丢失或放错地方,而且非常难以复制。
  4. 攻击后难阻止:但如果将固有因子存储在数据库中,那么它们就可能会被窃取。当生物特征数据遭到攻击时,无法快速或轻松地对这些数据进行更改,因此受害者难以阻止正在进行的攻击。

行为因子

  1. 行为因子即为用户所做的事情
  2. 行为因子是根据行为模式验证用户身份的数字工件。行为因子的例子包括 IP 地址范围或用户通常用于登录到应用程序的位置数据,比如异地登录验证
  3. 行为认证解决方案使用人工智能来确定用户正常行为模式的基线,然后标记异常活动,例如使用新的设备、电话号码、网络浏览器或位置进行登录。一些 2FA 实现利用行为因子,允许用户将可信设备注册为认证因子。虽然用户可能需要在第一次登录时手动提供两个因子,但使用的可信设备将在未来自动成为第二个因子。
  4. 行为因子通常用于自适应认证,也称为“基于风险认证”。在此系统中,当风险发生变化时,例如,用户尝试从不受信任的设备登录,首次尝试访问应用程序或尝试访问特别敏感的数据时,认证要求会发生变化。自适应认证方案通常允许系统管理员为每种类型的用户或角色设置单独的认证策略。低风险用户可能只需要两个因子即可登录,而高风险用户(或高度敏感的应用程序)可能需要三个或更多因子。
  5. 虽然行为因子可以提供复杂的用户认证方式,但它们需要大量资源和专业知识才能进行部署。此外,如果黑客获得对可信设备的访问权限,他们可以将其用作认证因子。

无密码2FA

  1. 由于被泄露的知识因子是网络安全漏洞中最常见的初始攻击媒介,因此许多组织都在探索无密码认证,即依靠占有因子、固有因子和行为因子来验证身份。
  2. 无密码认证可减少网络钓鱼攻击凭证填充攻击的漏洞,在这些攻击中,黑客使用从一个系统窃取的凭证来访问另一个系统。
  3. 虽然目前大多数 2FA 方法都使用密码,但行业专家预计,随着越来越多的组织摆脱被普遍认为是认证链中最薄弱的环节,无密码的未来将越来越清晰。这会推动无密码 2FA 系统的采用,用户在使用时必须提供两种不同类型的非知识因子认证凭证。 例如,让用户提供指纹和物理令牌便可以构成无密码 MFA。

2FA、单点登录和零信任关系

  1. SSO:单点登录 (SSO) 是一种认证方法,允许用户通过一组登录凭证访问多个相关的应用程序和服务。用户只需登录一次,SSO 解决方案就会对其身份进行认证并生成会话认证令牌。 此令牌将充当各种互连应用程序和数据库的用户安全密钥。
  2. SSO与2FA:为了降低多个应用程序依赖于同一组凭证的风险,通常需要对 SSO 使用 2FA。这提供了额外的安全层,会要求用户在访问 SSO 会话之前使用两个不同的认证因子。
  3. SSO、2FA与零信任:组织可为 SSO 实施自适应认证,将 2FA 结合起来进行初始登录并访问不太敏感的应用程序和内容,并在用户尝试访问更敏感的数据或有异常行为(例如尝试通过无法识别的 VPN 进行连接)时要求提供额外的认证因子。这在零信任网络安全架构中尤为常见,这种架构从不信任用户的身份,并且总是在他们在网络中活动时进行身份验证。

参考:https://developer.ibm.com/

这篇关于网络安全 | 什么是双因子认证2FA?的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/881543

相关文章

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

线性因子模型 - 独立分量分析(ICA)篇

序言 线性因子模型是数据分析与机器学习中的一类重要模型,它们通过引入潜变量( latent variables \text{latent variables} latent variables)来更好地表征数据。其中,独立分量分析( ICA \text{ICA} ICA)作为线性因子模型的一种,以其独特的视角和广泛的应用领域而备受关注。 ICA \text{ICA} ICA旨在将观察到的复杂信号

如何做好网络安全

随着互联网技术的飞速发展,网站已成为企业对外展示、交流和服务的重要窗口。然而,随之而来的网站安全问题也日益凸显,给企业的业务发展和用户数据安全带来了巨大威胁。因此,高度重视网站安全已成为网络安全的首要任务。今天我们就来详细探讨网站安全的重要性、面临的挑战以及有什么应对方案。 一、网站安全的重要性 1. 数据安全与用户隐私 网站是企业存储和传输数据的关键平台,包括用户个人信息、

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

【Shiro】Shiro 的学习教程(二)之认证、授权源码分析

目录 1、背景2、相关类图3、解析3.1、加载、解析阶段3.2、认证阶段3.3、授权阶段 1、背景 继上节代码,通过 debug 进行 shiro 源码分析。 2、相关类图 debug 之前,先了解下一些类的结构图: ①:SecurityManager:安全管理器 DefaultSecurityManager: RememberMeManager:实现【记住我】功能

OpenStack离线Train版安装系列—3控制节点-Keystone认证服务组件

本系列文章包含从OpenStack离线源制作到完成OpenStack安装的全部过程。 在本系列教程中使用的OpenStack的安装版本为第20个版本Train(简称T版本),2020年5月13日,OpenStack社区发布了第21个版本Ussuri(简称U版本)。 OpenStack部署系列文章 OpenStack Victoria版 安装部署系列教程 OpenStack Ussuri版

OpenStack Victoria版——3.控制节点-Keystone认证服务组件

3.控制节点-Keystone认证服务组件 更多步骤:OpenStack Victoria版安装部署系列教程 OpenStack部署系列文章 OpenStack Victoria版 安装部署系列教程 OpenStack Ussuri版 离线安装部署系列教程(全) OpenStack Train版 离线安装部署系列教程(全) 欢迎留言沟通,共同进步。 文章目录 创建key

网络安全运维培训一般多少钱

在当今数字化时代,网络安全已成为企业和个人关注的焦点。而网络安全运维作为保障网络安全的重要环节,其专业人才的需求也日益增长。许多人都对网络安全运维培训感兴趣,那么,网络安全运维培训一般多少钱呢?   一、影响网络安全运维培训价格的因素   1. 培训内容的深度和广度   不同的网络安全运维培训课程涵盖的内容有所不同。一些基础的培训课程可能主要涉及网络安全基础知识、常见安全工具的使用等,价

【网络安全】服务基础第二阶段——第二节:Linux系统管理基础----Linux统计,高阶命令

目录 一、Linux高阶命令 1.1 管道符的基本原理 1.2 重定向 1.2.1 输出重定向 1.2.2 输入重定向 1.2.3 wc命令基本用法 1.3 别名 1.3.1 which命令基本语法 1.3.2 alias命令基本语法 1.4 压缩归档tar 1.4.1 第一种:gzip压缩 1.4.2 第二种:bzip压缩 1.5 tar命令 二、VIM编辑器使用

120张网络安全等保拓扑大全

安全意识培训不是一个ppt通吃,不同的场景应该用不同的培训方式和内容http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484385&idx=1&sn=92f5e7f3ee36bdb513379b833651711d&chksm=c0e47abdf793f3ab7f4621b64d29c04acc03b45c0fc1eb613c37f3