网络安全 
您可以通过删除不再使用的帐户,调整隐私设置,避免在社
多因素身份验证 (MFA) 有助于为帐户添加额外一层安全,但重要的是,并非所有 MFA 方法都具有相同的易用性和安全性。 在本博客中,我们将介绍不同类型的 MFA 方法,以及每种方法的优缺点。
基于短信的多因素认证
基于短信的 MFA 允许用户通过发送到其手机的一次性密码 (OTP) 来验证其身份。 当用户尝试登录其帐户时,系统会通过短信向关联的电话号码发送唯一的一次性密码 (OTP)。 然后,用户必须将验证码输入登录界面,才能完成身份验证过程并访问其帐户。
优点
1. 易于设置和使用:用户只需要有效的电话号码。
2. 广泛可用:几乎所有手机都可以接收短信,无论它们是智能手机还是基本款手机。
3. 不需要特殊硬件:用户只需要能够接收消息的手机。
缺点
1. 容易受到 SIM 卡(用户身份模块卡)交换的影响:攻击者可以说服用户的移动运营商将用户的电话号码转移到攻击者控制的新 SIM 卡上。 这允许攻击者拦截短信消息,包括一次性密码 (OTP)。
2. 容易受到网络钓鱼的攻击:攻击者可能会通过短信冒充合法组织,从而诱骗用户泄露其一次性密码 (OTP)。
3. 不如其他多因素认证 (MFA) 方法安全:短信消息未加密,这意味着一次性密码 (OTP) 在传输期间可能会被拦截。
基于电子邮件的 MFA
基于电子邮件的多因素认证(MFA)允许用户通过发送到其注册电子邮件地址的代码或动态链接来验证身份。 当用户尝试登录其账户时,他们会收到一封包含一次性密码(OTP)或魔法链接的电子邮件。 然后,用户必须输入 OTP 或点击魔法链接,才能完成身份验证过程并访问其帐户。
优点
1. 易于设置和使用:用户只需要电子邮件地址,而大多数人已经拥有。
2. 不需要额外的应用程序或设备:它只需要可以访问用户电子邮件帐户的设备,无论是智能手机、平板电脑还是计算机。
缺点
1. 容易受到电子邮件账户泄露的侵害:如果用户的电子邮件账户被泄露,攻击者可以访问 OTP 并绕过 MFA。
2. 依赖电子邮件的可用性:如果用户由于互联网连接不可用或服务中断等问题而无法访问其电子邮件账户,他们将无法登录其账户,这时因为无法接收到 OTP 或动态链接。
语音通话身份验证
语音通话身份验证允许用户通过语音通话发送到与其账户关联的注册电话号码的 OTP 来验证自己的身份。 当用户尝试登录其账户时,他们会收到自动语音通话,其中系统会读出特定于此次登录尝试的唯一 OTP。 然后,用户必须将验证码输入登录界面,才能完成身份验证过程并访问其帐户。
优点
1. 对于没有智能手机的用户来说,简单易用:与基于短信或身份验证的应用程序不同,不要求用户拥有智能手机或数据计划。 只需要一部能够接听电话的基本功能手机。
2. 无需互联网连接即可运行:只要用户能够访问移动网络,即可通过语音通话接收 OTP,而无需依赖互联网连接。
缺点
1. 容易受到 SIM 卡(用户身份模块卡)交换的影响:攻击者可以说服用户的移动运营商将用户的电话号码转移到攻击者控制的新 SIM 卡上。 因此,攻击者能够拦截通过语音呼叫发送的 OTP。
2. 容易受到欺骗和电话钓鱼的攻击:攻击者可以伪造合法服务的电话号码,并诱骗用户相信他们正在接收 OTP 呼叫。 然后,攻击者可能会请求敏感信息或说服用户在恶意网站上输入 OTP。
3. 听力障碍限制:听力障碍用户可能无法清楚地听到通话期间提供的 OTP。
身份验证器应用程序
身份验证器应用程序是根据基于时间的一次性密码 (TOTP) 验证模型生成 OTP 的应用程序。 优质密码管理器通常在平台中具有身份验证器应用程序功能,允许用户在所有设备上保存和访问代码。
在使用身份验证器应用程序设置 MFA 时,用户可以扫描二维码,或手动输入密钥。 应用程序使用该密钥,使用一种算法来生成唯一的、时间敏感的 OTP,每 30 到 60 秒更改一次。 当用户试图登录其帐户时,他们必须输入身份验证器应用程序中显示的代码。 服务器验证输入的代码是否与它生成的代码匹配,如果匹配,则用户被授予访问权限。
优点
1. 离线可用:它不需要互联网连接来生成 OTP,因为该应用程序依靠存储在设备上的密钥来生成基于时间的代码。
2. 免费使用:大多数身份验证器应用程序都可以免费下载安装和使用,使其成为安全且具有成本效益的多 MFA 解决方案。
缺点
1. 需要智能手机或其他专用设备:用户必须访问支持该应用程序的设备。
2. 容易受到特定应用程序攻击:如果攻击者获得对用户设备的访问权限,则可以访问存储的秘密密钥,以生成 OTP 进行未经授权的访问。
3. 对一些用户来说可能具有挑战性:安装应用程序、扫描二维码以及在应用程序中管理多个在线账户的过程,可能会让不太精通技术的用户感到不知所措。
FIDO2 安全密钥
FIDO2 安全密钥是一种基于硬件的 MFA 方法,旨在使用户能够安全地登录其账户,无需输入密码或代码。 它是用户连接到其计算机或移动设备的物理设备,通常通过 USB、NFC 或蓝牙。 FIDO2 安全密钥使用公钥加密来创建一对密钥:存储在服务器上的公钥和安全存储在安全密钥上的私钥。 用户尝试登录账户时,他们会在收到提示时插入 FIDO2 安全密钥并点击它,使用私钥对身份验证挑战进行签名,以验证其身份。
优点
1. 免受中间人攻击:攻击者无法拦截用户和服务器之间的数据,因为他们没有完成身份验证所需的私钥。
2. 免疫网络钓鱼攻击:攻击者无法诱骗用户泄露私钥或身份验证代码,因为其依赖于公钥加密技术以及安全密钥的物理要求。
3. 防止 SIM 卡交换:安全密钥不依赖电话号码,因此消除了 SIM 卡交换的风险。
4. 适用于各种应用程序和网站:FIDO2 安全密钥在主要浏览器、平台和设备中获得广泛支持。
缺点
1. 成本高昂:FIDO2 安全密钥的价格从 20 美元到 100 美元或更高不等,具体取决于功能和品牌。
2. 如果未配置备份方法,则密钥丢失可能导致锁定:如果用户丢失了其 FIDO2 安全密钥,他们可能会被锁定在其账户之外,除非他们使用备用身份验证方法,例如另一把密钥、备份代码或恢复选项。
3. 需要物理设备:用户必须始终携带密钥进行身份验证,若密钥被放错地方、遗忘或难以访问,则可能会带来不便。
硬件令牌
硬件令牌是物理设备(例如密钥卡或智能卡),用于通过生成 TOTP 来验证用户的身份。 当用户尝试登录其账户时,系统会提示用户输入由硬件令牌生成的 OTP。 根据令牌类型,用户要么从设备的屏幕上读取代码,要么按下按钮来显示代码,然后他们将代码输入登录界面。 服务器根据共享密钥和当前时间检查输入的代码是否与其生成的代码相一致。 如果代码匹配,用户就可以获得访问权限。
优点
1. 它甚至在未联网的情况下生成 OTP:这使其成为在无法联网环境中的用户的理想选择。
2. 易于设置和使用:用户只需要将硬件令牌链接到其账户,它就可以自动生成 OTP,而无需任何进一步的操作。
缺点
1. 成本高:用户或组织必须购买物理设备,这可能会增加成本,尤其是对于需要为多个或所有用户提供令牌的大型企业而言。 令牌的价格从 20 美元到 100 美元或以上不等。
2. 令牌丢失或被盗:用户可能无法访问其账户,直到提供替换,这可能会耗费较多时间。
3. 需要物理设备:用户需要随身携带令牌以访问其账户,如果令牌放错地方或遗忘,可能会带来很大的不便。
生物识别身份验证
生物识别身份验证是一种 MFA 方式,使用物理或行为特征来验证用户的身份。 与传统密码或 OTP 代码不同,生物识别身份验证依赖于每个人的独特个人特征。 这些特征可能包括指纹、面部特征、语音模式、虹膜或视网膜扫描,甚至输入模式。 用户试图登录时,系统会捕获和分析其生物特征,并将其与初始设置中存储的数据进行比较,以验证其身份。
优点
1. 快速、简单且仅需最低限度的设置: 初始设置要求用户扫描其指纹、面部或其他生物识别特征。 一旦设置完成,身份验证仅需看一眼或触摸一下即可完成。
2. 每个用户都独一无二:生物识别特征难以复制,并且两个人拥有完全相同的指纹、面部特征或视网膜图案的概率极低。
缺点
1. 在某些情况下可能无法有效工作:例如, 如果用户的手指脏污或受伤,则系统可能难以正确读取指纹。 同样,如果他们戴眼镜、口罩或帽子,则系统可能无法准确扫描面部。
2. 对隐私和滥用生物识别数据的担忧:如果生物识别数据以不安全的方式存储或访问,则它容易遭到盗窃或滥用。
3. 误报风险:例如,双胞胎或具有相似面部特征的长相相似的个体可能会触发误报。
推送通知
推送通知允许用户通过接收移动设备上的通知来验证身份。 在尝试登录时,用户无需输入 OTP,而是收到推送通知,提示用户批准或拒绝该登录尝试。 通过选择“批准”,用户即可验证其身份并确认是其本人启动了登录,而无需手动输入代码。
优点
1. 快速审批过程:与用户必须等待接收短信并输入代码的 OTP 方法不同,推送通知的审批过程是即时完成的。
2. 比短信更安全:推送通知通过与服务器的加密连接进行传输,导致它们更不容易被拦截。
缺点
1. 需要智能手机或设备接收推送通知:需要能够接收通知的设备来完成身份验证过程。
2. 如果用户的手机丢失、被盗、离线或处于飞行模式,则可能无法有效运行: 如果用户没有他们的智能手机或其设备不可用,则他们无法访问其帐户。
选择 MFA 方法时需要考虑哪些因素
在决定使用哪种 MFA 方法时,必须评估多个因素,以确保所选解决方案满足您的特定需求。 这些因素包括您的安全需求、便利性和实施成本。
- 安全需求:您需要的安全级别将根据受保护信息的敏感性而有所不同。 对于高度敏感数据,最好选择提供最高保护级别的 MFA 解决方案。 生物识别技术、硬件令牌或 FIDO2 安全密钥等解决方案被认为是最强大的 MFA 形式,因为它们可以防御常见的网络威胁。
- 用户便利性:在易于访问和最高安全之间评估您的偏好。 在简便性和安全之间找到平衡非常重要,以确保用户友好的体验,同时仍然能够保护敏感信息。 如果便利性是优考虑事项,则生物识别技术或推送通知等解决方案是理想选择,因为它们提供了快速且无缝的身份验证。
- 成本:评估实施的初始成本和持续的维护成本。 一些 MFA 解决方案可能成本较低,如短信身份验证,而其他解决方案(如硬件令牌或 FIDO2 安全密钥)的部署和维护成本可能更高。
通过安全的 MFA 方法保护您的帐户
在选择合适的 MFA 解决方案时,全面了解不同方法的优缺点至关重要。 无论您选择哪种方法,必须为每个支持该选项的账户启用 MFA。 任何 MFA 方案都比完全不设 MFA 更安全。
Keeper 密码管理器允许您存储、访问和安全地共享 TOTP 代码 – 它甚至会自动为您填写这些代码。 这使组织中的所有用户都能够使用强密码并为每个账户启用 MFA。
开启为期 14 天的免费试用 Keeper 密码管理器,以增强您的账户安全。
