多因素身份驗(yàn)證是一個(gè)術(shù)語，用來描述采用了兩種或者兩種以上不同形式的認(rèn)證模式來提高利用規(guī)避、破壞或者以其它方式繞過正常身份認(rèn)證體系難度的安全機(jī)制。對(duì)于多因素身份驗(yàn)證來說，關(guān)鍵是每個(gè)“因素”利用的是一種不同類別的認(rèn)證機(jī)制，而不是第二種認(rèn)證采用的是同一機(jī)制的不同實(shí)例。

用于認(rèn)證的驗(yàn)證因素往往屬于下列三個(gè)類別之一：

◆使用者本質(zhì)屬性：對(duì)于這一類別來說，生物特征識(shí)別技術(shù)是最常見的例子。

◆使用者擁有屬性：智能卡、手機(jī)、筆記本計(jì)算機(jī)之類的特定物品都可以作為這種類型的認(rèn)證因素。

◆使用者需知屬性：對(duì)于這種類型的認(rèn)證因素來說，最常見的例子就是一個(gè)密碼。

通常情況下，一次性密碼系統(tǒng)屬于使用者需知屬性類別的認(rèn)證因素。但是，對(duì)于惡意安全黑客來說，不同尋常的骨頭才難啃(這里有雙關(guān)語意)。對(duì)于典型的密碼認(rèn)證系統(tǒng)來說，會(huì)顯示出一個(gè)輸入提示框，使用者將記得的密碼輸入進(jìn)去，就可以進(jìn)入到使用環(huán)境中。而對(duì)于一次性密碼系統(tǒng)來說，在每次對(duì)身份進(jìn)行認(rèn)證的時(shí)間，使用的都是不同密碼。每個(gè)密碼只能使用一次；這就是“一次性”這一定語的來源。

對(duì)于一次性密碼系統(tǒng)的登錄來說，每次都要使用不同的一次性密碼。優(yōu)秀的系統(tǒng)往往會(huì)采用兩種不同的方式建立受到限制的產(chǎn)生時(shí)間以生成一種可預(yù)見的運(yùn)算密碼體系：在某些一次性密碼系統(tǒng)中，采用的是令牌或軟件，并以實(shí)現(xiàn)在對(duì)應(yīng)系統(tǒng)中的密碼輸入。為了防止其它人對(duì)密碼生成方式進(jìn)行預(yù)測(cè)，系統(tǒng)會(huì)對(duì)隨機(jī)選擇的起始點(diǎn)進(jìn)行加密，這種措施被密碼學(xué)家稱之為“鹽效應(yīng)”，可以用來對(duì)密碼的輸出過程進(jìn)行一些秘密調(diào)整。這樣的話，可預(yù)見系統(tǒng)就能單向確認(rèn)，無法逆轉(zhuǎn)，從而實(shí)現(xiàn)給定的一次性密碼只能單次使用，重復(fù)使用將被系統(tǒng)拒絕的效果。

取決于對(duì)認(rèn)證因素分離的定義有多嚴(yán)格，以及對(duì)應(yīng)一次性密碼系統(tǒng)的具體工作原理，將一次性密碼引入認(rèn)證體系中確實(shí)可以實(shí)現(xiàn)多因素身份驗(yàn)證模式提供的安全性。一種涉及到USB設(shè)備或智能手機(jī)之類單獨(dú)硬件令牌使用的實(shí)現(xiàn)模式，可以在需要的時(shí)間生成下一個(gè)密碼，應(yīng)該屬于“使用者擁有屬性”類別。實(shí)際上，相對(duì)而言，采用從輸入框的模式更傳統(tǒng)一些，利用可重復(fù)使用的密碼輸入模式作為第二種認(rèn)證因素也存在不足，有些類型的攻擊可以同時(shí)破壞可重復(fù)使用的密碼和一次性密碼，但對(duì)于身份驗(yàn)證模式來說，兩種密碼認(rèn)證模式還是至少有可能實(shí)現(xiàn)安全性的一定提高。

不管一次性密碼系統(tǒng)是否符合多因素身份驗(yàn)證模式的嚴(yán)格定義，但它確實(shí)可以提高一定的安全性，并讓未經(jīng)授權(quán)的部分獲得認(rèn)證的難度上升。DebianGNU/Linux和FreeBSD之類操作系統(tǒng)都提供了易于安裝和配置的一次性密碼系統(tǒng)，安致市場(chǎng)中也提供了類似的一次性密碼應(yīng)用，可以將智能手機(jī)轉(zhuǎn)換為獨(dú)立的硬件令牌，以支持一次性密碼系統(tǒng)。

對(duì)于用戶來說，一次性密碼系統(tǒng)帶來的最大好處，就是可以避免網(wǎng)絡(luò)流量被鍵盤記錄器之類可以記錄所有信息的工具所截獲帶來的某些風(fēng)險(xiǎn)。當(dāng)然，如果系統(tǒng)中確實(shí)存在鍵盤記錄器的話，應(yīng)該做的事情不止這一點(diǎn)；只是，在確實(shí)存在的鍵盤記錄器沒有被發(fā)現(xiàn)之前，一次性密碼可以讓惡意安全黑客無法獲得登錄系統(tǒng)的密碼。