双因子认证(2FA)是什么?两步骤身份验证如何确认安全性
双因子认证(2FA)在现代资安中扮演了重要角色,有助降低身份盗用或资料窃取的可能性。本文将介绍 2FA 的基本概念、运作原理,以及与 MFA 和无密码登入的差别,协助企业选择最适合的验证方式来保护资料安全。
2FA 是什么?
双因子认证(2 Factor Authentication)是一种身份验证方法:在使用者登入系统时,以两个不同的步骤来确认其身份。
「认证(Authentication)」也称作「验证」,这个步骤在现代资讯系统中更是至关重要。为保护隐私,当我们将资料储存到资讯系统后,要再次存取资料时,系统必须确认我们是否为合法且拥有正当权限的使用者。透过帐号密码登入的机制,最初便是为了验证身份而设计的,因为系统预设只有正确的使用者才会知道帐号与密码。
举例来说,我们使用电子信箱时,要先经过登入这一步骤,就是因为电子邮件系统要确认我们就是该信箱的所有者,要求我们使用帐号密码登入后,才允许我们查看信件。
2FA 透过额外的验证步骤来进一步确认使用者身份。例如,在 2FA 机制中,使用者要进入系统时,可能需先输入帐号密码,接着扫描指纹。系统会比对使用者输入的帐号密码与内部记录,并检查指纹是否与存档样式相符。两种验证同时成功的情况下,使用者才能登入系统。
为什么要用 2FA?
相较于 2FA,过去以单因子认证(Single Factor Authentication,SFA),通常只使用一种验证方式,例如帐号和密码。然而,随着网路攻击手法日益复杂,骇客发展出多种破解方式,例如将所有可能的密码组合输入系统的暴力破解、已外流的帐号密码输入至不同网站的撞库攻击,或网路钓鱼和其他方式窃取帐号密码。
當帳號密碼遭到竊取時,若僅依賴單因子認證,駭客便能輕易存取系統,竊取機敏資料。但若使用 2FA,則即使密碼被破解,駭客仍需額外提供第二種驗證因素,提高了未授權存取的難度。
当帐号密码遭到窃取时,若仅依赖单因子认证,骇客便能轻易存取系统,窃取机敏资料。但若使用 2FA,则即使密码被破解,骇客仍需额外提供第二种验证因素,提高了未授权存取的难度。
除此之外,虽然这并非 2FA 的主要设计目的,但 2FA 也能提醒使用者资讯安全的重要性,让人们意识到自身在保护资安方面所扮演的角色。维护资安人人有责,不应仅仰赖系统或服务提供商来做好安全防护措施。
2FA 验证因子有哪些?
2FA 透过两层验证来确认使用者的身份,验证的方式称为「验证因子(Factors)」。验证因子依照特性,可以分为五大类:知识因子、持有物因子、原生因子、位置因子与行为因子。
1. 知识因子 Knowledge Factors
以知识因子进行认证,使用者需要提供「特定资讯」才能进入系统。我们常用的密码和 PIN 码、安全性问题(Security Questions)都是知识因子的例子。知识因子使用方便,因为不需额外设备或系统,但也因为容易被窃取、破解或透过社交工程得知,安全性较低。
2. 持有物因子 Possession Factors
持有物因子透过使用者拥有的特定物品来验证身份,例如系统认可的硬体设备:晶片卡、安全金钥(Security Key)、智慧手机或动态密码(One-Time Password,OTP)等等。
3. 原生因子 Inherence Factors
原生因子的认证方式是检视使用者独特的生理特征,例如指纹、掌纹、声纹、脸部辨识、视网膜或虹膜扫描等等。通常生物特征独一无二,且他人较难以复制或伪造,而安全性较高。但以原生因子验证,必须具备能够扫描生物特征的装置,在验证便利性的方面可能受到影响。
4. 位置因子 Location Factors
位置因子认证透过确认使用者的所在地进行,在使用者要求存取权限时,利用 IP 位址或 MAC 位址(Media Access Control Address)检查其装置的所在地。使用者无需手动输入资讯或进行额外扫描,网站管理员即可设定验证方式。但是 IP 位址可透过 VPN 或代理伺服器等方式伪造,因此安全性较低,通常仅作为辅助的身份验证方式。
5. 行为因子 Behaviour Factors
行为因子则需要使用者进行特定行为,来获得存取权限,例如智慧手机的萤幕上画出特定图案来解锁萤幕。其他的行为因子的范例还有,打字速度、打字模式、游标移动模式等等。在 2FA 中,较常见的行为因子还有,让使用者将特定的装置设定为「受信任装置(Trusted Devices)」,并在第一次登入并验证身份后,未来以该装置登入时即可省略额外的验证步骤。
上述验证因子各有其优势与运作原理,皆可用来确保存取系统的使用者已获授权。同时运用两种验证因子,便是 2FA 的核心原则。
2FA vs MFA vs 无密码登入
除了 2FA,还有另一种称为 MFA 的安全机制。 MFA 的意思为「多因子认证(Multi-Factor Authentication)」,顾名思义,MFA 指的是同时使用多种验证因子来确认身份,通常包含 2 种或以上的验证因子。因此,2FA 其实也是 MFA 的一种。也就是说其实 2FA 也是 MFA 的一种,只是相较于 2FA,MFA 的验证关卡可能更多。
然而,验证关卡更多不一定代表更安全。若身份验证机制设计不良,可能会降低使用者体验,导致使用者透过不安全的方式绕过验证,例如重复使用简单的验证因子,反而让系统资安面临风险。
无密码验证(Passwordless Authentication)也是一种身份认证机制,使用者「不输入帐号密码或回答安全性问题」,而是透过其他验证因子,如生物辨识、硬体安全金钥或动态密码(OTP)等方式进行身份确认、登入系统。正如前文所述,随着网路攻击技术快速发展,密码作为身份认证的效果日益降低。为改善此问题,开始有系统采用无密码验证机制。
也就是说 2FA、MFA和无密码都是验证身份的方式,三者的差异在于「所使用的验证因子的数量」与「是否使用密码作为验证因子」。虽然定义不同,三者未必互相排斥。例如,不以密码作为验证因子的 2FA 机制,同时符合了是 2FA、MFA 和无密码验证的定义。
|
2FA |
MFA |
无密码验证 |
|
|
验证因子数量 |
2 |
2 或 2 以上 |
不一定 |
|
是否使用密码作为验证因子 |
不一定 |
不一定 |
不使用 |
无论是 2FA 或 MFA,挑选最合适的验证因子能有效提升资讯安全,并减少帐户被盗用或资料外泄的风险。由于不同企业与组织的 IT 系统架构、机敏资料的存放与处理方式各不相同,因此适用的 2FA 机制也会有所差异。晟崴科技提供客制化的多因子认证解决方案,为您的资安把关!
立即联络晟崴科技,为您的资讯安全把关
