雙因子認證(2FA)是什麼?兩步驟身份驗證如何確認安全性
雙因子認證(2FA)在現代資安中扮演了重要角色,有助降低身份盜用或資料竊取的可能性。本文將介紹 2FA 的基本概念、運作原理,以及與 MFA 和無密碼登入的差別,協助企業選擇最適合的驗證方式來保護資料安全。
2FA 是什麼?
雙因子認證(2 Factor Authentication)是一種身份驗證方法:在使用者登入系統時,以兩個不同的步驟來確認其身份。
「認證(Authentication)」也稱作「驗證」,這個步驟在現代資訊系統中更是至關重要。為保護隱私,當我們將資料儲存到資訊系統後,要再次存取資料時,系統必須確認我們是否為合法且擁有正當權限的使用者。透過帳號密碼登入的機制,最初便是為了驗證身份而設計的,因為系統預設只有正確的使用者才會知道帳號與密碼。
舉例來說,我們使用電子信箱時,要先經過登入這一步驟,就是因為電子郵件系統要確認我們就是該信箱的所有者,要求我們使用帳號密碼登入後,才允許我們查看信件。
2FA 透過額外的驗證步驟來進一步確認使用者身份。例如,在 2FA 機制中,使用者要進入系統時,可能需先輸入帳號密碼,接著掃描指紋。系統會比對使用者輸入的帳號密碼與內部記錄,並檢查指紋是否與存檔樣式相符。兩種驗證同時成功的情況下,使用者才能登入系統。
為什麼要用 2FA?
相較於 2FA,過去以單因子認證(Single Factor Authentication,SFA),通常只使用一種驗證方式,例如帳號和密碼。然而,隨著網路攻擊手法日益複雜,駭客發展出多種破解方式,例如將所有可能的密碼組合輸入系統的暴力破解、已外流的帳號密碼輸入至不同網站的撞庫攻擊,或網路釣魚和其他方式竊取帳號密碼。
當帳號密碼遭到竊取時,若僅依賴單因子認證,駭客便能輕易存取系統,竊取機敏資料。但若使用 2FA,則即使密碼被破解,駭客仍需額外提供第二種驗證因素,提高了未授權存取的難度。
除此之外,雖然這並非 2FA 的主要設計目的,但 2FA 也能提醒使用者資訊安全的重要性,讓人們意識到自身在保護資安方面所扮演的角色。維護資安人人有責,不應僅仰賴系統或服務提供商來做好安全防護措施。
2FA 驗證因子有哪些?
2FA 透過兩層驗證來確認使用者的身份,驗證的方式稱為「驗證因子(Factors)」。驗證因子依照特性,可以分為五大類:知識因子、持有物因子、原生因子、位置因子與行為因子。
-
知識因子 Knowledge Factors
以知識因子進行認證,使用者需要提供「特定資訊」才能進入系統。我們常用的密碼和 PIN 碼、安全性問題(Security Questions)都是知識因子的例子。知識因子使用方便,因為不需額外設備或系統,但也因為容易被竊取、破解或透過社交工程得知,安全性較低。
-
持有物因子 Possession Factors
持有物因子透過使用者擁有的特定物品來驗證身份,例如系統認可的硬體設備:晶片卡、安全金鑰(Security Key)、智慧手機或動態密碼(One-Time Password,OTP)等等。
-
原生因子 Inherence Factors
原生因子的認證方式是檢視使用者獨特的生理特徵,例如指紋、掌紋、聲紋、臉部辨識、視網膜或虹膜掃描等等。通常生物特徵獨一無二,且他人較難以複製或偽造,而安全性較高。但以原生因子驗證,必須具備能夠掃描生物特徵的裝置,在驗證便利性的方面可能受到影響。
-
位置因子 Location Factors
位置因子認證透過確認使用者的所在地進行,在使用者要求存取權限時,利用 IP 位址或 MAC 位址(Media Access Control Address)檢查其裝置的所在地。使用者無需手動輸入資訊或進行額外掃描,網站管理員即可設定驗證方式。但是 IP 位址可透過 VPN 或代理伺服器等方式偽造,因此安全性較低,通常僅作為輔助的身份驗證方式。
-
行為因子 Behaviour Factors
行為因子則需要使用者進行特定行為,來獲得存取權限,例如智慧手機的螢幕上畫出特定圖案來解鎖螢幕。其他的行為因子的範例還有,打字速度、打字模式、游標移動模式等等。在 2FA 中,較常見的行為因子還有,讓使用者將特定的裝置設定為「受信任裝置(Trusted Devices)」,並在第一次登入並驗證身份後,未來以該裝置登入時即可省略額外的驗證步驟。
上述驗證因子各有其優勢與運作原理,皆可用來確保存取系統的使用者已獲授權。同時運用兩種驗證因子,便是 2FA 的核心原則。
2FA vs MFA vs 無密碼登入
除了 2FA,還有另一種稱為 MFA 的安全機制。MFA 的意思為「多因子認證(Multi-Factor Authentication)」,顧名思義,MFA 指的是同時使用多種驗證因子來確認身份,通常包含 2 種或以上的驗證因子。因此,2FA 其實也是 MFA 的一種。也就是說其實 2FA 也是 MFA 的一種,只是相較於 2FA,MFA 的驗證關卡可能更多。
然而,驗證關卡更多不一定代表更安全。若身份驗證機制設計不良,可能會降低使用者體驗,導致使用者透過不安全的方式繞過驗證,例如重複使用簡單的驗證因子,反而讓系統資安面臨風險。
無密碼驗證(Passwordless Authentication)也是一種身份認證機制,使用者「不輸入帳號密碼或回答安全性問題」,而是透過其他驗證因子,如生物辨識、硬體安全金鑰或動態密碼(OTP)等方式進行身份確認、登入系統。正如前文所述,隨著網路攻擊技術快速發展,密碼作為身份認證的效果日益降低。為改善此問題,開始有系統採用無密碼驗證機制。
也就是說 2FA、MFA和無密碼都是驗證身份的方式,三者的差異在於「所使用的驗證因子的數量」與「是否使用密碼作為驗證因子」。雖然定義不同,三者未必互相排斥。例如,不以密碼作為驗證因子的 2FA 機制,同時符合了是 2FA、MFA 和無密碼驗證的定義。
|
2FA |
MFA |
無密碼驗證 |
|
|
驗證因子數量 |
2 |
2 或 2 以上 |
不一定 |
|
是否使用密碼作為驗證因子 |
不一定 |
不一定 |
不使用 |
無論是 2FA 或 MFA,挑選最合適的驗證因子能有效提升資訊安全,並減少帳戶被盜用或資料外洩的風險。由於不同企業與組織的 IT 系統架構、機敏資料的存放與處理方式各不相同,因此適用的 2FA 機制也會有所差異。晟崴科技提供客製化的多因子認證解決方案,為您的資安把關!
立即聯絡晟崴科技,為您的資訊安全把關
