什麼是雙重驗證?| 兩步驟驗證說明

使用雙重驗證 (2FA),使用者必須先透過兩種不同的方式證明其身分,然後才會被授予存取權限。

學習目標

閱讀本文後,您將能夠:

  • 定義雙重驗證
  • 概述驗證因素的範例
  • 探索 2FA 的缺點

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是雙重驗證?

雙重驗證(縮寫為 2FA)是一個驗證過程,要求透過兩個不同的驗證因素來確立身分。簡而言之,這意味著使用者必須先以兩種不同的方式證明其身分,然後才會被授予存取權限。2FA 是多重要素驗證的一種形式。

雙重驗證

什麼是認證?

驗證是存取控制的重要組成部分。這是一種安全性做法,用於確認某人是他所聲稱的身分。比如旅行者向海關人員出示護照以證明其身分。

在網路安全範圍內,最常見的驗證範例是登入 Web 上的服務,例如在 Web 瀏覽器中登入 Gmail 或登入 Facebook 應用程式。當使用者提供使用者名稱和密碼組合時,服務可以確認這些詳細資訊,並使用它們對使用者進行驗證。

什麼是驗證因素?

驗證因素是不同類別的身分驗證方法。雙重驗證的一些常用驗證因素包括:

  • 知道的內容:這是只有使用者應該知道的一條資訊,例如密碼或安全性問題的答案。
  • 擁有的物品:此因素依賴於使用者實際擁有某個物件。例如,可以產生密碼的硬體金鑰,或可以傳送代碼的行動裝置。
  • 生物特徵辨識資料:這些是可用於驗證使用者身分的獨特生物學特徵,例如指紋、視網膜掃描和面部 ID。
  • 位置:GPS 等基於位置的工具可用於將驗證限制為指定地理區域內的使用者。

應該注意的是,要求具有相同驗證因素的兩個實例不符合 2FA 的條件。例如,要求密碼和回答安全性問題仍然是單一要素驗證。這兩者都屬於「知道的內容」因素。

雙重驗證如何運作?

雙重驗證能以多種方式運作。2FA 最常見的範例之一是要求使用者名稱/密碼驗證和簡訊文字驗證。

在此範例中,當使用者為服務建立帳戶時,他們必須提供唯一的使用者名稱、密碼和行動電話號碼。當使用者登入該服務時,他們會提供其使用者名稱和密碼。這提供了第一個驗證因素(知道的內容;使用者已證明他們知道其唯一的登入認證)。

接下來,該服務將向使用者傳送帶有數字代碼的自動文字訊息。然後,系統將提示使用者輸入數字代碼。假設代碼正確,則表示使用者提供了第二個驗證因素(擁有的物品;使用者擁有其行動裝置)。現在,已滿足 2FA 的條件,使用者已通過驗證並將獲得對其帳戶的存取權限。

為什麼要使用雙重驗證?

基於密碼的安全性已經變得太容易被攻擊者利用。隨著網路釣魚詐騙中間人攻擊暴力攻擊和密碼重複使用的盛行,攻擊者收集被盜登入認證變得越來越簡單。這些被盜認證可以交易或出售以用於認證填充攻擊。出於此原因,2FA 變得越來越普遍。

隨著遠端員工變得越來越普遍,更強的身分驗證也變得越來越重要。由於不能使用員工實際位於辦公室這一點來驗證他們的身分,因此 2FA 等措施有助於確保他們的帳戶沒有被盜用。

安全性專家通常建議使用者盡可能啟用 2FA,還要求那些處理敏感性使用者資料但目前未提供 2FA 的服務採用這種驗證方式。雖然 2FA 對於攻擊者而言並非無法破解,但比起僅採用密碼的驗證,這種驗證方式破壞起來耗費更多精力和成本。

基於 SMS 的雙重驗證安全嗎?

基於 SMS 的 2FA(簡訊驗證)比單一要素驗證(僅密碼)要安全得多。但儘管如此,SMS 仍是最不安全的 2FA 方法之一。SMS 通訊協定不是很安全,SMS 訊息可能會被攻擊者攔截。

使用行動裝置實作 2FA 還有其他更加安全的方式:譬如,透過一款使用強加密的安全應用程式傳送驗證代碼。Google 等很多主要網際網路服務使用基於時間的單次密碼 (TOTP)。使用 TOTP,用戶端(通常是在智慧型手機上執行的一款應用程式)可以基於某一時刻建立一個臨時的一次性代碼。這些代碼的有效期很短,通常不到一分鐘。攻擊者很難在如此短的時間內截獲並解密代碼。

還有一種被稱作「Sound-Proof」的新興 2FA 技術,這種技術需要使用行動裝置和筆記型電腦內建麥克風收集的環境噪音。Sound-Proof 的運作方式是對比環境噪音樣本,以確保兩台裝置在一個房間內。

雙重驗證是否有缺點?

雖然 2FA 有助於使網際網路更加安全,但也有一些需要考慮的缺點。例如,2FA 可能會讓那些技術不太精通的使用者望而卻步,對於他們來說,下載和瀏覽智慧型手機驗證應用程式可能是一個挑戰。

要求服務提供 2FA 也會提高入門的經濟門檻。並非所有使用者都擁有許多 2FA 方法所需的現代智慧型手機。此外,在某些地方,行動資料非常昂貴,因此即使是那些擁有智慧型手機的人也可能因下載 2FA 驗證應用程式而支付不菲的費用。

2FA 還使得那些管理服務的人需要承擔業務成本。2FA 比僅密碼驗證更難實作,一家公司若要提供 2FA,它必須支付設定費用或第三方服務費用,以持續的成本支出為代價來提供驗證服務。小型企業可能會放棄 2FA 所增強的安全性,因為他們根本負擔不起支援它的費用。