社会工程学很难缓解问题。为什么？因为它针对的是所有系统中最薄弱的安全点：用户。

所以确实，系统越复杂，攻击者就越复杂。但通常，他们获取信息是因为有人不遵守协议，例如通过传真发送机密数据，将信息提供给他们没有通过电话验证的人。因此，即使您使用指纹解决方案，使用 3 张门禁卡和一名门卫主管，如果经过身份验证的用户通过邮件将最后的草稿交给他们认为是同事的人……所有这一切都是徒劳的。

对社会工程的最好预防是：意识。你最好让用户不要做坏事而不是硬化过程。程序越复杂，用户就越难避免它，因为他们认为他们会浪费时间。而人们不喜欢的是。但是，如果您可以向他们展示不良行为的示例，或被社会工程师“攻击”的公司等，他们可能会理解这些措施是为了安全起见。但是，如果有人准备通过电话将他们的密码提供给他们的“管理员”......这是没有希望的。

作为结论，两因素身份验证可以提高针对社交工程的安全性。通过这种方式，它可以让人们意识到证书确实是他们的并且是他们身份的一部分（例如指纹是你身体的一部分）。但是，如果没有用户的良好意识，所有的安全措施都将毫无用处。

我对社会工程的比喻是，它就像水一样——它会找到阻力最小的地方，并以它的方式工作。

当用户有双因素认证时，你可以在系统访问的漏洞大坝中封上一点——我希望大多数用户不要盲目交出他们的令牌，并通过安全意识培训这通常伴随着获得令牌，用户可能会对多种类型的攻击更加谨慎。

但这并不意味着您可以免受其他类型的社会工程攻击，并且它很快提出了丢失令牌报告过程是什么的问题。让人们在工作中经常出差，以及让攻击者很容易以丢失令牌的合法用户的身份打电话，并希望将令牌转发到他在另一个城市的酒店，这两者之间有一条很好的界限。 ..

或者我最喜欢的攻击是使用看起来正确的徽章进入建筑物，但实际上没有电子电源......办公室里到处都是乐于助人的人，无论他们是否认识你，他们都会为你守门！当您的系统要求每个人进出房间进行身份验证时，它就不起作用，但大多数主要入口都不会那样工作——这只是不切实际。

当您说添加额外的身份验证要求会使社会工程变得更加困难时，您说得对 - 它使大多数类型的攻击更加困难 - 但它确实并不能阻止社会工程。

以我的经验，虽然大大减少了攻击总数，但它实际上增加了社会工程攻击的百分比——许多纯技术攻击在 2 因素身份验证下失败，因此攻击者可能会尝试设计用户提供第二因素或替代方法。

它在所有方面都是一个明确的净改进，除了用户满意度可能例外（额外的身份验证让用户非常恼火），但即使在这里，如果做得好并且用户在没有遇到可用性问题的情况下看到安全优势，它可以证明整个改进董事会。

双重身份验证的因素通常是“你知道的东西”、“你拥有的东西”或“你是的东西”。

针对第二个因素的社会工程攻击取决于它是实物财产还是您自己的身体。

让我们将其分为两种可能的社会工程场景：

你有的东西：

这可以是一种一次性键盘，也可以是诸如智能卡之类的物理项目。您可以同时获得这两种方式，但对于一次性密码类型的身份验证，也可以要求用户将其读出给您听。你将如何做到这一点，完全取决于你所处的场景。

你是什​​么：

这进入了生物识别领域。各种实现具有各种弱点。仅依靠指纹的机制会失败，因为用户实际上在他们接触的每个表面上都留下了密码。以下是关于此案的神话终结者：http ://www.spendonlife.com/blog/bypassing-biometric-security 你能拿着这个干净的牛奶杯片刻吗？

对于其他没有弱点的生物识别技术，您仍然可以应用一些社会工程学来让人们为您执行身份验证。

附带说明一下，根据这是物理安全还是数字安全，方法会有很大差异。冒充联邦快递在尾随中比远程验证数字堡垒更成功。

足够的咆哮，希望这对回答您的问题有一些有价值的见解。