发布日期: 2023 年 12 月 20 日
撰稿人:Matthew Kosinski、Amber Forrest
双重身份验证 (2FA) 是一种身份验证方法,用户必须提供两个证据,如密码和一次性通行码,才能证明自己的身份并访问在线帐户或其他敏感资源。
大多数互联网用户可能都熟悉基于短信的 2FA 系统。在这类系统中,应用程序会在用户登录时向其手机发送一个数字码。用户必须输入密码和该数字码才能继续。仅输入其中之一是不够的。
2FA 是多因素身份验证 (MFA) 的最常见形式,指用户必须提供至少两个证据的任何身份验证方法。
2FA 有助于加强帐户安全,因此已被广泛采用。用户密码很容易被破解或伪造。2FA 通过要求提供第二个因素,增加了安全性。黑客不仅需要窃取两个凭证才能入侵系统,而且第二个因素通常是难以入侵的,如指纹或有时间限制的密码。
根据 IBM Security X-Force Threat Intelligence 指数获取洞察,以更快且更有效地准备和应对网络攻击。
注册获取《数据泄露成本报告》
当用户尝试访问受 2FA 安全系统保护的资源(例如公司网络)时,系统会提示用户输入第一个身份验证因素。通常,第一个因素是用户名/密码组合。
如果第一个因素有效,系统会要求输入第二个因素。第二个因素有各种形式,从临时代码到生物识别等等。只有在两个因素都核对无误的情况下,用户才能访问资源。
虽然 2FA 通常与计算机系统有关,但它也能保护实物资产和地点。例如,受限制的建筑物可能要求人们出示身份卡并通过指纹扫描才能进入。
2FA 系统可以使用多种类型的验证因素,真正的 2FA 系统使用两种不同类型的因素。使用两种不同类型的因素被认为比使用两种相同类型的因素更安全,因为黑客需要使用不同的方法来破解每个因素。
例如,黑客可以通过在用户电脑中植入间谍软件来窃取其密码。然而,这种间谍软件无法获取用户手机上的一次性密码。黑客需要找到另一种方法来拦截窃取这些消息。
在大多数 2FA 实现中,知识因素是第一个身份验证因素。知识因素是理论上只有用户才知道的信息。密码是最常见的知识因素。个人识别码 (PIN) 和安全问题的答案也很常见。
尽管知识因素被广泛使用,但总体而言,尤其是密码,是最容易受到攻击的验证因素类型。黑客可以通过网络钓鱼攻击、在用户设备上安装恶意软件或发动“暴力破解”攻击等手段获取密码和其他知识因素。
其他类型的知识因素并没有带来更多的挑战。许多安全问题(如经典的“您的母亲姓什么?”)的答案都可以通过基础研究或社交工程攻击(诱骗用户泄露个人信息)轻松破解。
值得注意的是,需要密码和安全问题的常见做法并不是真正的 2FA,因为它使用了两个相同类型的因素,这里是两个知识因素。相反,这是一种两步验证过程。
两步验证比单纯的密码更安全,因为它需要两个因素。不过,由于这两个因素属于同一类型,因此与真正的 2FA 因素相比更容易被窃取。
持有因素是指一个人拥有的可以用来证明自己身份的东西。两种最常见的持有因素类型是软件令牌和硬件令牌。
软件令牌通常采用一次性密码 (OTP) 的形式。OTP 是 4-8 位数字的一次性密码,会在设定的时间后过期。软件令牌可以通过短信(或电子邮件或语音信息)发送到用户的手机上,也可以由安装在设备上的验证程序生成。
无论属于哪种情况,用户的设备基本上都是持有因素。2FA 系统假定只有合法用户才能访问与该设备共享或由该设备生成的任何信息。
虽然基于短信的 OTP 是最用户友好的持有因素之一,但它们也是最不安全的。用户需要通过互联网或手机连接才能接收这些数字码,黑客可以通过复杂的网络钓鱼或中间人攻击窃取这些数字码。OTP 还容易受到 SIM 卡克隆的影响,在这种情况下,犯罪分子会复制受害者智能手机 SIM 卡的功能,并用它来拦截短信。
身份验证应用程序可以在没有网络连接的情况下生成令牌。用户将应用程序与自己的帐户配对,应用程序会使用一种算法持续生成基于时间的一次性密码 (TOTP)。每个 TOTP 都会在 30-60 秒后过期,因此很难被盗。有些身份验证应用程序使用推送通知而不是 TOTP;当用户尝试登录帐户时,应用程序会向其手机发送推送通知,用户必须点击推送通知以确认尝试是否合法。
最常见的身份验证应用程序包括 Google Authenticator、Authy、Microsoft Authenticator、LastPass Authenticator 和 Duo。虽然这些应用程序比短信更难破解,但它们并非万无一失。黑客可以使用专门的恶意软件直接从身份验证程序1 中窃取 TOTP 或发起 MFA 疲劳攻击,在这种攻击中,黑客会向设备发送大量欺诈性推送通知,希望受害者不小心确认其中一个。
硬件令牌是作为安全密钥的专用设备,如密钥扣、身份证、加密狗。有些硬件令牌插入电脑的 USB 端口,并将验证信息传输到登录页面;有些则生成验证码,供用户在出现提示时手动输入。
虽然硬件令牌极难被黑客破解,但它们也可能被盗,用户装有软件令牌的移动设备也可能被盗。事实上,根据 IBM 的《数据泄露成本报告》告,多达 6% 的数据泄露事件都与设备丢失和被盗有关。
行为因素是根据行为模式验证用户身份的数字工具。例如,用户的典型 IP 地址范围、通常所在位置和平均打字速度。
行为身份验证系统利用 AI 确定用户正常模式的基线,并标记异常活动,如从新设备、电话号码或位置登录。有些 2FA 系统允许用户注册可信设备作为身份验证因素,从而利用行为因素。虽然用户在首次登录时可能需要提供两个因素,但今后使用受信任设备将自动成为第二个因素。
行为因素在自适应身份验证系统中也发挥着作用,该系统会根据风险程度改变身份验证要求。例如,用户可能只需要密码就能从公司网络上的可信设备登录应用程序,但他们可能需要添加第二个因素才能从新设备或未知网络登录。
虽然行为因素为终端用户的身份验证提供了一种复杂的方法,但其部署需要大量的资源和专业知识。此外,如果黑客获得了受信任设备的访问权限,他们就可以冒充用户。
由于知识因素很容易被泄露,许多组织正在探索只接受持有、属性和行为因素的无密码身份验证系统。例如,要求用户提供指纹和物理令牌就构成了无密码 2FA 配置。
虽然目前大多数 2FA 方法都使用密码,但业内专家预计,未来将越来越多地不使用密码。Google、Apple、IBM 和 Microsoft 等主要技术提供商已经开始推出无密码身份验证选项。3
根据 IBM 的《数据泄露成本报告》,网络钓鱼和泄露凭证是最常见的网络攻击媒介之一。它们合计占数据泄露事件的 31%。这两种媒介通常都是通过窃取密码来实现的,黑客可以利用这些密码劫持合法帐户和设备进行破坏。
黑客通常以密码为攻击目标,因为很容易通过暴力或欺骗手段破解密码。此外,由于人们重复使用密码,黑客往往可以利用一个被盗密码入侵多个帐户。密码被盗会给用户和组织带来严重后果,导致身份盗窃、金钱盗窃、系统破坏等。
2FA 增加了一层额外的安全保护,有助于阻止未经授权的访问。即使黑客可以窃取密码,他们仍然需要第二个因素才能进入。此外,这些第二因素通常比知识因素更难窃取;黑客必须伪造生物特征、模仿行为或偷窃物理设备。
企业还可以使用双因素身份验证方法来满足合规要求。例如,支付卡行业数据安全标准 (PCI-DSS) 明确要求处理支付卡数据的系统采用 MFA。4《萨班斯-奥克斯利法案》(SOX) 和《通用数据保护条例》(GDPR) 等其他法规并未明确要求 2FA。但是,2FA 可以帮助组织满足这些法律设定的严格安全标准。
在某些情况下,数据泄露事件发生后,组织不得不采用多因素身份验证。例如,2023 年,美国联邦贸易委员会勒令在线酒类销售商 Drizly 实施 MFA,此前,该公司发生了一起影响 250 万客户的漏洞事件。5
制定有关哪些用户有权访问组织内部或云端的数据和应用程序的决策时,增加深入的背景信息、情报和安全性。
为云 IAM 注入基于风险的身份验证所需的深度上下文。借助 IBM Security Verify 云 IAM 解决方案,为您的消费者和员工提供低摩擦、安全的访问。
不止是基本身份验证,还可提供免密或多重身份验证选项
IAM 是一门网络安全学科,专注于管理计算机网络上的用户身份和访问权限。
MFA 是一种身份验证方法,要求用户提供两个或多个证据来证明自己的身份。
“数据泄露成本”报告通过了解泄露原因以及增加或减少其成本的因素,有助于为应对数据泄露做好充分准备。
脚注
所有链接均为 ibm.com 外部链接
1 Android malware can steal Google Authenticator 2FA codes,ZDNET,2020 年 2 月 26 日
2 '1m fingerprint' data leak raises doubts over biometric security,ScienceDirect,2019 年 9 月
3 You no longer need a password to sign in to your Google account,The Verge,2023 年 5 月 3 日
4 PCI DSS: v4.0,安全标准委员员,2022 年 3 月
5 In the Matter of Drizly, LLC,联邦贸易委员会,2023 年 1 月 10 日