您可以保护自己的社保号码和其他敏感文档,定期查看您的
多因素身份验证 (MFA) 的四种类型是知识、所有权、固有性和位置。 这些身份验证类型为多种 MFA 方法奠定了基础,为用户提供了多种保护数据的选项,从 SMS 消息令牌到硬件安全密钥。 哪种方法适合您或您的企业取决于您可以访问的内容以及您想要的安全程度。
继续阅读以了解哪些 MFA 方法最安全,以及哪种方法最能保护您或您的企业的数据。
多因素身份验证的工作原理
MFA 的工作原理是,除了传统密码之外,还需要一种或多种身份验证方法,以验证用户是否有权访问帐户。 这增加了另一层安全性,因为虽然网络犯罪分子可能能够破坏一个身份验证因素,但同时破坏两个身份验证因素的难度要大得多。
不同的身份验证方法以不同的方式验证身份,有些方法比其他方法更安全。
为什么多因素身份验证很重要?
随着云计算成为常态,我们的敏感信息遍布互联网上的各种帐户、设备和云存储。 这增加了所有用户(包括个人和组织)的攻击面,并为网络攻击破坏用户机密数据提供了更多途径。
因此,数据泄露比以往任何时候都更加常见。 据 Statista 统计,2022 年发生了 1,800 多起数据泄露事件,超过 4.22 亿人受到影响。 这些数据泄露通常会泄露密码和其他敏感信息。
如果一组凭证在数据泄露中遭到泄露,并且网络犯罪分子在尝试登录时使用这些凭证,那么阻止他们访问帐户的唯一方法就是多因素身份验证。
多因素身份验证是否安全?
是的,多因素身份验证是安全的。 某些 MFA 方法比其他方法更安全,但任何 MFA 方法都会提高帐户的安全性。 您应始终选择在可用时启用 MFA。
4. 多因素身份验证的类型
身份验证有四种主要类型,包括:
1. 知识:你所知道的内容
基于知识的身份验证依赖于用户所知道的内容。 例如,安全问题通过询问秘密问题和只有用户应该知道的答案来验证身份。
2. 所有权:你拥有的事物
基于所有权的身份验证通过用户实际拥有的事物来验证身份。 例如,带有芯片的徽章允许用户进入建筑物,这是一种基于所有权的身份验证。
3. 固有性:您的本质
固有性基于用户所具有的遗传的、不可改变的特征。 如果前面提到的安全徽章包含用户的照片,那么徽章将依赖于固有性和所有权来验证身份。 一个更高科技的例子是生物识别技术,例如指纹扫描。
4. 位置:您所处的地点
在零信任网络安全环境中,您的物理位置可以成为身份验证因素。 某些应用程序和服务要求用户位于特定位置才能访问它们。
MFA 示例
上述四个类别中有许多不同的验证方法,但以下是普通用户在数字生活中最常见的方法。
1. 基于时间的一次性密码 (TOTP)
TOTP 是一个代码,通常是 6 位数字,仅在短时间内有效 – 通常为三十到六十秒。 通过这种方法,用户可以使用存储 TOTP 代码的密码管理器或下载身份验证器应用程序来存储和访问这些代码。 输入密码登录帐户后,系统将提示用户输入代码以验证其身份。
这是最安全的 MFA 形式之一,因为代码受到保护且难以拦截。 网络犯罪分子窃取代码的唯一方法是破坏生成代码的设备、窃取代码或用恶意软件感染代码。
2. SMS 短信令牌
此方法要求用户在创建帐户时输入电话号码。 当用户使用其凭证登录时,系统会要求他们输入通过短信发送到手机的代码。 有了代码,他们就可以登录。
这是 MFA 安全性较低的方法之一,因为个人的电话号码通常很容易在网上找到。 如果网络犯罪分子拥有用户的电话号码,他们就可以使用一种称为 SIM 交换的技术来拦截他们的短信。
优点是它是一种方便的方法,不需要用户下载新的应用程序。 某些帐户提供短信令牌作为唯一的 MFA 方法。 这比没有 MFA 好,所以如果这是唯一的选择,你仍然应该使用它。
3. 电子邮件令牌
Email tokens are similar to SMS tokens, but they use your email address to deliver the code. Similarly, the risk of email tokens is that a cybercriminal could hack your email account in order to get access to the code. If you use this method, be sure to secure your email account with a unique, complex password in order to protect it.
4. 硬件安全密钥
硬件安全密钥是物理令牌。 将其连接到您的帐户后,您应该将其保存在安全的位置,以免丢失。 当您登录帐户时,通常会将密钥插入 USB 端口或在设备上点击它。 您的设备将感应密钥并验证您的身份。
这是最安全的身份验证方法之一,因为网络犯罪分子不可能通过互联网窃取它。 这种方法可能被破坏的唯一方法是物理密钥被盗。
5. 生物识别认证
生物识别认证通过面部识别、指纹扫描或虹膜扫描来验证您的身份。 首次设置生物识别身份验证时,用户将在设备上注册指纹或面部扫描。 然后系统会将以后的扫描与第一次扫描进行比较,以验证您的身份。
因为每个人都有独特的指纹和面部,所以这是非常安全的。 指纹和面部识别已经广泛用于个人设备上的登录识别。 它还经常用作应用程序的 MFA 方法,通常用于银行或其他具有敏感数据的应用程序。 生物识别信息通常存储在设备本地以保护它们。
生物识别认证的缺点是,如果用户的生物识别信息泄露,则无法像重置密码一样重置它。 如果某人的指纹被泄露,他们不应再使用指纹扫描作为身份验证方法。 这就是为什么它通常被用作第二个因素,或用作代码登录的便捷绕过(例如在您的手机上),而不是作为主要识别因素。
6. 安全问题
安全问题通常用于口头确认您的身份,例如通过电话与银行联系,但它们也可以通过数字方式使用。 如果您选择使用安全问题,请确保答案完全保密。 人们通常会选择一些很容易通过查看他们的在线数字足迹就能猜到答案的问题来作为安全问题。 例如,“你的狗叫什么名字?”这样的问题的答案可以很容易地在用户的社交媒体帐户上找到。 防止网络犯罪分子找到答案的一种常见方式是提供无人能猜到的虚假答案。 请务必记住您的虚假答案!
7. 基于风险的身份验证
基于风险的身份验证或自适应身份验证是根据风险级别更改访问所需的身份验证的做法。 基于风险的身份验证考虑了人为因素。 如果用户每次登录都必须使用多种身份验证方法,他们可能会感到沮丧。 这可能会导致他们禁用 MFA,从而使他们的帐户受到的保护较少。
例如,使用基于风险的身份验证,帐户在用户登录其工作设备时可能不需要 MFA,但在登录其他设备时会提示用户进行 MFA。 这意味着用户收到 MFA 提示的频率会降低,但尝试从自己的计算机侵入帐户的网络犯罪分子仍会收到 MFA 提示。
MFA 确保您的安全
无论您选择哪种方法,您都应该为每个提供 MFA 选项的账户启用 MFA。 MFA 是继使用强密码之后保护帐户的最佳方法之一。
为了使 MFA 更加方便,Keeper 密码管理器能够存储 TOTP 代码并允许您从任何设备访问它们。 Keeper 通过自动生成和安全存储强密码、密钥和 MFA 代码,简化了身份验证过程,让您的生活更轻松。