【51CTO.com快譯】您一定聽說過雙因素身份認證的概念及其優(yōu)勢吧?它需要您輸入除了密碼以外的其他身份特征，并通過認證的方式，才能解鎖并登陸您的在線帳戶。在實際應用中，我們可以有多種方式來實現(xiàn)雙因素身份認證。本文將和您一起探討各種雙因素身份認證方式的優(yōu)缺點，以方便您根據(jù)實際情況作出選擇。

雙因素身份認證與兩步身份認證

在開始深入討論之前，讓我們先花一點時間來厘清雙因素身份認證和兩步身份認證之間的區(qū)別。它們既有相似之處，又不盡相同。

雙因素身份認證是使用兩種不同類型的認證方式保護用戶的帳戶。也就是說，您必須提供下面三種要素中的兩種：

• 您知道什么：諸如密碼信息、或是安全問題的答案。
• 您擁有什么：例如，您持有智能手機、或是其他物理設備。
• 您是誰：諸如指紋或虹膜之類的身體特征。

因此，真正的雙因素身份認證意味著您必須持有上述兩種不同的因素，才能通過認證完成登錄。

而如果您的帳戶只是受到上述三種因素中同一種類型的兩個“鎖”的保護，那只能稱為兩步身份認證。例如：密碼信息和安全性問題的答案都是您所知道的，只是在身份認證過程分為了兩個步驟，而不是兩個因素。雖然它相比單一密碼的保護效果較強，但是仍然達不到雙因素身份認證的效果。

下面我們來探討六種常見的雙因素認證方式的優(yōu)缺點：

方式1：安全問題

作為大家比較收悉的一種方式：我們在創(chuàng)建帳戶時，可以選取一到多個安全問題，并事先為每個問題設置好相應的答案。后續(xù)在使用該帳戶登錄的時候，我們必須針對每一個問題提供正確的答案，方可完成身份驗證以及訪問授權。

(1) 安全問題的優(yōu)點

安全問題本身非常容易被設置。在大多數(shù)情況下，我們只需從一個下拉菜單中，選擇便于記憶且能夠給出確定回答的問題即可。而且我們不需要任何其他設備，畢竟那些答案就儲存在我們的腦海中。

(2) 安全問題的缺點

許多安全問題的答案很容易被推敲出來。例如：人們可以在公共記錄、或社交媒體上找到諸如：父親的姓氏、或是您所在的街道等的信息。也就是說，我們很容易通過社會工程(例如：網(wǎng)絡釣魚電子郵件或電話)，意外地泄露此類敏感信息。

要解決安全問題的缺點，您可以通過輸入亂碼，來有效地使其成為自己的“第二密碼”。當然，您必須小心，以避免丟失或遺忘它們。因此，您可以適當?shù)剡x用密碼管理器來予以保護。

方式2：短信或電子郵件

另一種常見的方式是：在您創(chuàng)建帳戶的時候，提供某個常用的手機號碼。而當您再次登錄時，系統(tǒng)會通過短信或電子郵件向您發(fā)送驗證代碼。這是一個臨時的驗證碼，它會在較短的時間內(nèi)(如：1~5分鐘)過期。因此，您必須及時將它輸入并提交，才能完成登錄。

(1) 短信郵件驗證的優(yōu)點

只要您手頭有能夠接受短信或電子郵件的設備，便可在代碼發(fā)出后的幾分鐘之內(nèi)接收到。而且此類設備通常比較便宜。當然，如果您丟失了該設備，通常也可以通過重發(fā)手機卡號等方式，從另一臺設備上繼續(xù)接收到相關的代碼信息。

(2) 短信郵件身份認證的缺點

該方式的運作前提是：您必須充分信任需要登錄的系統(tǒng)服務。也就是說，一些信譽不佳的服務提供商，可能會將您的電話號碼用于其他廣告營銷目的。另一方面，如果某個區(qū)域的移動網(wǎng)絡信號不佳、甚至沒有服務的話，您可能無法接收到相應的登錄代碼。

此外，短信和電子郵件的通信信道不一定會被安全加密，因此一些技術高超的黑客可以扮演“中間人(MIM)”的角色，在無需接觸到接收設備的情況下，輕而易舉地以電磁攔截等方式獲悉代碼的具體內(nèi)容。

方式3：基于時間的一次性密碼(One-Time Password，OTP)

如上圖所示，如果有條件的話，我們可以使用身份認證應用程序(請參見： https://www.makeuseof.com/tag/5-best-alternatives-google-authenticator/)，掃描某個包含密鑰的二維碼(QR)。據(jù)此，密鑰會被加載到該應用之中，并生成定期變化的臨時密碼。你通過將該密碼輸入頁面，便可完成登錄所需的認證。

(1) 一次性密碼的好處

在將帳戶添加入身份認證應用之后，您完全可以在移動網(wǎng)絡服務的情況下訪問它們。由于密鑰存儲在設備之中，因此不會像短信那樣被截獲。而且，如果您使用的是諸如Authy的身份認證應用，則可以在多個設備之間同步密碼，以有效地避免單一設備的局限性。

(2) 一次性密碼的缺點

如果手機電池的電量耗盡，那么您將無法訪問到驗證碼(當然短信的方式也有此局限性)。由于設備需要花時間來生成代碼，因此如果設備和服務之間的時鐘不同步的話，則會導致代碼的無效。這恐怕就是為什么我們需要始終將密碼打印服務，作為一種緊急的備用登錄方式的原因。

雖然可能性很小，但是如果黑客以某種方式克隆了您的密鑰，那么他就可以隨意生成自己的有效代碼。而且，如果該登錄服務不限制登錄嘗試的失敗次數(shù)的話，那么黑客也可能會通過蠻力破解的方式，來窮舉您的帳戶密碼。

方式4：U2F鑰匙

[[323686]]

通用雙因素(Universal 2nd Factor，U2F)是一種開放的標準，可被用于USB設備、NFC設備、以及智能卡中。在身份認證的過程中，您只需插入USB密鑰，碰一碰NFC設備、或是滑一下智能卡即可。

(1) U2F的優(yōu)點

作為一種真正獨立的物理介質，U2F鑰匙只要得到了妥善的保管，就不會被黑客進行數(shù)字攔截或重定向。與大多數(shù)雙因素方式不同，由于只對注冊過的賬戶生效，因此U2F鑰匙能夠有效地應對網(wǎng)絡釣魚類攻擊。它可謂當前最安全的雙因素身份認證(2FA)方式之一。

(2) U2F的缺點

由于相對較新，因此U2F鑰匙的應用范圍并不太廣泛。U2F鑰匙的另一個主要缺點是設備上的USB接口類型并不通用(請參見：https://www.makeuseof.com/tag/understanding-usb-cable-types-one-use/)。如果您擁有一個帶有USB-A接口的U2F鑰匙，那么在沒有適配器的情況下，它將無法被插到Android、iPhone或最新的MacBook上使用。

U2F鑰匙的起價為20美元左右。同時它提供了一種堅固耐用的高級版。雖然高端的U2F鑰匙內(nèi)置了NFC，以方便您在移動設備上直接使用它們，但是其售價比較昂貴。

方式5：推送通知(Push Notification)

在某些平臺上，當您輸入了密碼之后，會在設備上收到包含相關登錄嘗試通知的推送消息。您只需在設備上點擊批準或拒絕，便可響應請求。

(1) 推送通知的好處

推送通知顯然比先打開身份認證應用，再復制代碼的操作要方便得多。此類通知通常會包含有關：誰在何種設備類型上，通過哪個IP地址，以及在哪里正在嘗試登錄等信息。這些通知類報警對于正在發(fā)生的惡意登錄嘗試，將十分及時且有效。

此外，由于推送通知能夠與您的手機綁定在一起，因此它巧妙地避開了黑客復制您的密碼，或竊取短信內(nèi)容的風險。當然，我們也需要隨身攜帶著此類設備才能保證正常的登錄。

(2) 推送通知的缺點

與前面不同，推送通知的認證方式要求您的手機設備能夠連接到互聯(lián)網(wǎng)上。也就是說：如果您沒有移動數(shù)據(jù)連接，且并未連接到Wi-Fi上的話，將無法收到推送過來的登錄提示。此外，在您忙碌或精神不集中時，有可能會忽略推送中提示，或在未經(jīng)思考的情況下批準了陌生的登錄驗證請求。

方式6：生物識別(面部、語音或指紋)

[[323687]]

面部識別、語音識別和指紋掃描都屬于生物識別的類型。它們往往被運用在某些需要安全檢查的區(qū)域(例如：政府)，以確定訪客的真實身份。

(1) 生物識別技術的優(yōu)勢

生物識別技術極難被破解。即使是最容易復制的指紋，也需要與指紋所有者進行某種的物理接觸才能獲取。語音識別往往需要通過您的語音說出某段文字，而面部識別更是需要臉部上的多個特征點去比對已登記的樣本信息。

(2) 生物識別技術的缺點

人們在面對生物識別技術的時候，往往會心存顧慮，生怕此類“高科技”可能會對自己的某些器官造成損傷。同時，他們也害怕這些與生俱來的生命特征，會被認證技術采集后泄露出去，進而給自己的生活造成巨大的困擾。

當然，生物識別技術在面對多樣性的人體特征時，也有可能產(chǎn)生“誤判”。此類錯誤率往往和技術實現(xiàn)的成本及造價有著密切的關系。

多重身份認證的選擇

綜上所述，各種雙因素身份認證方式可謂各有利弊。究竟該如何取舍?其實還是取決于您的真實場景需求。在此，我們僅給出過往項目的經(jīng)驗和建議：

• 如果是為了獲得最大的安全性和私密性，您可以選用U2F鑰匙。它們既不會被跟蹤，又不會泄露個人信息。不過您需要花錢購買U2F鑰匙，而且可能要隨身攜帶。
• 如果是為了方便起見，您最好選用短信或郵件。該方式雖然比單步身份認證更快、更容易使用，但是您可能會碰到信號不佳，以及消息被截獲的潛在危險。
• 如果想達到上述兩方面的平衡，您最好使用身份認證應用、以及基于時間的一次性密碼。不過，您必須小心地保留和備份機密性的代碼，以防止設備的丟失或損壞。您也可以使用Authy，在多臺設備上實現(xiàn)同步與登錄。
• 如果您想實時獲悉登錄的嘗試，則可以選用推送通知。當然，您需要在確保使用的時候，具有穩(wěn)定的互聯(lián)網(wǎng)連接，并能夠認真地查看推送過來的消息內(nèi)容。

原文標題：The Pros and Cons of Two-Factor Authentication Types and Methods ，作者：Ben Stegner

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】