多因素身份驗證（MFA）強化帳戶安全性

MFA 涉及人們生活的方方面面，驗證的方式也是多種多樣。本篇文章作者将從 MFA 常用的六種常用方式分析其中的優劣，提供應對措施，希望能對大家有所幫助。

一、什麼是多因素身份驗證 (MFA)？

MFA是一種身份驗證方法，它為傳統的基于密碼的身份驗證過程增加了一層額外的保護。MFA要求使用者提供至少兩個身份驗證因素，以證明其身份并獲得對系統或應用程式的通路權限。

二、MFA中常用的因素包括

1. 知識因素

知識因素是隻有使用者自己知道的資訊，例如使用者名、密碼、短信驗證碼、電子郵件驗證碼、安全問題等。

2. 擁有因素

擁有因素是隻有使用者擁有的實體物體，例如安裝了身份驗證應用程式的移動裝置等。

3. 固有因素

固有因素是使用者所獨有的實體特征，例如一個人的指紋、面部特征等。

4. 行為因素

行為因素是基于使用者的行為模式驗證其身份，例如使用者通常登入的位置、IP位址、時間、裝置等。

5. 認知因素

認知因素是基于使用者的認知能力驗證其身份，例如滑動拼合拼圖、正确識别扭曲的字母或數字、音頻識别等。

三、各因素優劣分析

1. 短信驗證碼

• 受到SIM卡交換攻擊，攻擊者首先擷取有關使用者的個人資訊，例如他們的姓名、電話号碼、帳戶詳細資訊，然後聯系受害者的移動網絡提供商，聲稱丢失或損壞了他們的SIM卡，攻擊者提供使用者的個人資訊作為身份證明，并要求将使用者的電話号碼轉移到受攻擊者控制的新SIM卡上，一旦控制了使用者的電話号碼，他們就可以接收短信驗證碼并獲得對使用者帳戶的未授權通路。
• 受到短信釣魚攻擊，攻擊者發送一條看似來自可信來源的欺詐消息，該消息提示使用者單擊連結或提供個人資訊請求，例如登入憑據或驗證碼。如果使用者上當受騙并提供請求的資訊，攻擊者就會捕獲這些資訊，然後使用它來獲得對使用者帳戶的未授權通路。
• 驗證短信需要移動網絡連接配接，如果使用者所在的區域移動網絡覆寫較差或完全沒有覆寫，他們可能延遲或無法接收驗證短信，導緻他們無法登入或高效登入。

2. 電子郵件驗證碼

• 如果使用者使用郵箱帳戶注冊平台帳戶，并為兩個帳戶設定相同的密碼，攻擊者破解郵箱帳戶密碼就可以獲得郵箱驗證碼并使用它來獲得對平台帳戶的未授權通路。
• 受到網絡釣魚攻擊，攻擊者發送一條看似來自可信來源的欺詐性電子郵件，以誘騙收件人提供個人敏感資訊，例如登入憑據或驗證碼。如果使用者上當受騙并提供請求的資訊，攻擊者就會捕獲這些資訊，然後使用它來獲得對使用者帳戶的未授權通路。
• 驗證步驟繁瑣，使用者需要在不同的應用程式（例如，郵箱應用和使用者試圖通路的應用）或裝置之間切換完成驗證過程。
• 電子郵件的發送和接收可能會延遲或最終進入垃圾郵件箱。

3. 安全問題

• 缺乏保密性，個人資訊經常通過各種線上平台、社交媒體或資料洩露而被共享或暴露，這使得攻擊者很容易收集個人資訊繞過安全問題并獲得對使用者帳戶的未授權通路。
• 問題數量有限，使用者隻能從平台預先提供的有限的問題池中進行選擇，可能很難選擇對他們來說真正獨特且難忘的問題。此外，有限數量的安全問題也可以減少攻擊者需要猜測的問題池。

4. 生物識别驗證

• 指紋、面部特征等生物特征在本質上對個人來說是獨一無二的，很難複制或僞造它們。
• 使用者可以簡單的使用生物識别特征來驗證自己，節省時間且消除了手動輸入有誤的可能性。

5. 身份驗證應用

以谷歌驗證器為例：

• 谷歌驗證器離線工作，不依賴網絡連接配接來生成身份驗證代碼，在網絡連接配接受限的情況下非常有用。
• 谷歌驗證器離線工作，身份驗證代碼在使用者裝置上本地生成，不會通過網際網路傳輸，避免了身份驗證過程中身份驗證代碼被攔截或洩露的風險。
• 如果安裝了谷歌驗證器的使用者移動裝置在沒有備份QR碼或備份代碼的情況下丢失或遭破壞，可能會影響使用者通路受谷歌身份驗證器保護的賬戶。

6. 圖像識别、音頻識别

• 圖像識别、音頻識别等認知因素對某些有認知障礙或殘疾的使用者來說可能具有挑戰性，可能會使他們難以通路自己的帳戶。

綜上，雖然多因素身份驗證可以通過密碼之外的其它驗證因素來顯著提高安全性，但它并非牢不可破，并且仍然容易受到某些類型的攻擊。是以，采取額外的預防措施來增強帳戶安全性至關重要。

四、作為使用者，建議采取的預防措施

1. 預防網絡釣魚

以下是網絡釣魚消息的一些常見特征，可以幫助區分：

• 冒充可信來源：網絡釣魚郵件通常包含被冒充組織的官方辨別、顔色和其他品牌元素。通過複制可信源的視覺辨別，攻擊者試圖使消息看起來真實，并欺騙使用者相信它來自合法實體，但是，仔細檢查可能會發現發件人号碼或電子郵件位址略有不同。
• 文法或拼寫錯誤：許多網絡釣魚消息包含文法錯誤、拼寫錯誤。因為網絡釣魚通常是大規模進行，攻擊者可能不會投入太多時間或精力來校對消息，且一些網絡釣魚使用自動化工具來生成和分發網絡釣魚郵件，這些工具沒有文法和拼寫檢查檢查。但合法的組織通常有專業的撰稿人來確定他們的資訊沒有這樣的錯誤。
• 緊迫性：釣魚消息通常會營造一種緊迫感，迫使收件人立即采取行動。它們可能會聲稱收件人的帳戶存在緊急問題，或者需要立即驗證他們的資訊以防止出現某種形式的負面後果，又或者聲稱收件人赢得了獎品，逾期不予兌換。

建議以下預防措施：

• 警惕連結和附件：避免點選連結或下載下傳可疑郵件的附件。這些可能會導緻虛假網站或惡意軟體安裝危及你的帳戶安全。
• 驗證發件人：仔細檢查消息中發件人的電話号碼或姓名，確定其與合法實體的官方聯系資訊相符。
• 保持謹慎和懷疑：在收到未經請求的消息時要保持警惕，尤其是那些要求提供個人資訊或立即采取行動的消息。

2. 預防SIM卡交換攻擊

• 謹慎對待個人資訊：避免在網上透露個人資訊，尤其是在社交平台上。攻擊者可以收集有關你的個人詳細資訊，例如你的姓名、電話号碼、生日、位址等，他們可能會在SIM交換攻擊期間使用這些資訊冒充你。

3. 使用身份驗證器進行多因素身份驗證時，牢記以下幾個注意事項

• 使用單獨的裝置進行備份：考慮使用單獨的裝置存儲每個平台提供備份QR碼或備份代碼。這可以在主要裝置丢失、損壞或不可用時提供幫助。
• 保護你的裝置：由于身份驗證器依賴于你的移動裝置，是以確定你的裝置安全非常重要。設定強密碼或使用生物認證（指紋或面部識别）來防止未經授權通路你的裝置。
• 確定從可信來源下載下傳身份驗證器：下載下傳身份驗證器最安全的方法是從官方應用商店下載下傳，例如适用于Android的 Google Play Store或 iOS的App Store。這些平台采取了嚴格的安全措施來檢測和删除惡意或假冒應用程式。

五、作為平台，尤其是金融和政府機構，強烈建議使用多因素身份驗證

通過實施多因素身份驗證，金融和政府機構可以增強使用者帳戶的安全性、保護敏感資料、在平台和使用者之間建立信任。

六、總結

多因素身份驗證已成為必不可少的安全措施。多因素身份驗證通過要求使用者提供多種因素來驗證其身份來增加額外的安全層。這種身份驗證方法顯着降低了未經授權通路的風險，特别是在金融和政府等行業。通過實施多因素身份驗證，平台可以增強使用者帳戶的安全性、減少财務損失和欺詐、建立和使用者之間的信任。作為使用者，盡可能采用 多因素身份驗證以及額外的安全預防措施，保護我們的帳戶和敏感資訊免受網絡犯罪分子的侵害。通過多因素身份驗證我們可以建立一個更安全的網絡環境環境并保護我們的個人資訊。

感謝閱讀，以上就是本次分享的全部内容，希望你能從這篇文章中有所收獲，後續将會持續更新。

本文由@張楚 原創釋出于人人都是産品經理，未經許可，禁止轉載。

題圖來自 Unsplash，基于 CC0 協定。

該文觀點僅代表作者本人，人人都是産品經理平台僅提供資訊存儲空間服務。