如今,网络上普遍使用了三种身份验证形式:
通常,两步验证的第二步涉及用户通过电子邮件或 SMS 接收代码,并在所使用的网站/应用程序上与他们的 pin/密码一起(或之后)输入该代码。电子邮件收件箱或接收电话可以被视为“您拥有的东西”,因此将其限定为双因素身份验证。但是,在第二步中实际使用的代码(以及用于访问接收代码的帐户/设备的凭据)仍然是“您知道的东西”。
那么,两步认证是双因素认证的一种新形式吗?或者它真的只是多单因素身份验证?
双因素身份验证专门且专门指身份验证机制,其中两个身份验证元素在“你拥有的东西”、“你的身份”和“你知道的东西”方面属于不同的类别。
需要两个物理密钥或两个密码或两种形式的生物特征识别的多步骤身份验证方案不是两个因素,但这两个步骤可能仍然有价值。
Gmail 要求的两步验证就是一个很好的例子。提供您记住的密码后,您还需要提供手机上显示的一次性密码。虽然手机可能看起来是“你拥有的东西”,但从安全角度来看,它仍然是“你知道的东西”。这是因为认证的关键不是设备本身,而是存储在设备上的信息,理论上可以被攻击者复制。因此,通过复制您记住的密码和 OTP 配置,攻击者可以成功冒充您,而无需实际窃取任何实物。
多因素身份验证的要点以及严格区分的原因是,攻击者必须成功地进行两种不同类型的盗窃来冒充您:例如,他必须获取您的知识和您的物理设备。在多步骤(但不是多因素)的情况下,攻击者只需要完成一种类型的盗窃,只需多次。例如,他需要窃取两条信息,但没有物理对象。
Google、Facebook 或 Twitter 提供的多步身份验证类型仍然足以阻止大多数攻击者,但从纯粹的角度来看,它在技术上并不是多因素身份验证。
我不会真正将“两步”归类为区别。它是一个因素的机制,可能仍然是你知道的,也可能不是。例如,如果代码被发送到手机,那么它确实是你知道的东西(密码)和你拥有的东西(手机)。如果它被发送到电子邮件,它实际上仍然是单一因素,因为电子邮件和帐户(很可能)都是密码派生的。
它当然仍然是电子邮件意义上的验证机制,但它并没有比要求第二个密码在身份验证方面所做的更多。
您可以简单地说每个两因素身份验证都是两步身份验证,但反之则不然。
当我输入密码并扫描指纹时,我正在进行两步身份验证并使用两因素(你知道的,你是的)
但是,当我输入我的常规帐户密码和一次性密码时,我正在做两步但只使用一个因素(我知道的)
