什么是2FA?
双因子认证2FA(Two Factor Authentication)是一种安全认证过程,需要用户提供两种不同类型的认证因子来表明自己的身份,包括密码、指纹、短信验证码、智能卡、生物识别等多种因素组合,从而提高用户账户的安全性和可靠性。
为什么需要2FA?
对于个人用户,计算机及网络技术的飞速发展和 Internet 的快速普及,人们通过计算机网络交流信息的频率越来越高。近几年电子商务、电子政务和移动支付等模式的兴起,方便了生活的同时,也导致大量敏感和机密信息在网上被传递,如公司合同、商业订单、手机APP支付账号密码、银行账号密码等。由于这些信息对于接收者以外的第三方有严格保密的需求,因此信息传播和使用的安全问题至关重要。
对于企业网络,随着互联网技术的发展,每个企业中存在大量的网络设备,对于这些网络设备的保护至关重要。如果非法用户通过获取管理员权限入侵企业网络设备,进行非法操作,有可能导致敏感信息泄露,甚至整个网络系统的瘫痪。
与此同时,计算机与信息犯罪在近年正在呈现出上升的趋势,攻击手段日趋复杂,且导致越来越大的经济损失,促使所有用户都必须采取有效措施。
故有必要对进入应用程序、服务、网络设备系统的人员进行认证,最常见而简单的访问控制方法是通过2FA身份认证方式确认用户的真实性,提高用户账户的安全性和可靠性。
身份认证因子有哪些分类?
- 秘密信息因子,包含密码、个人身份识别码 (PIN) 、安全问题验证。
- 物品因子,分为软件令牌和硬件令牌。
- 软件令牌,包含短信验证码,电子邮件验证链接、验证码,服务商提供的身份验证二维码(例如微信扫码认证)。
- 硬件令牌,包含身份证、驾驶证、护照、密钥卡、硬件加密锁等专用物品作为安全密钥使用 。
- 生物特征因子,包含指纹、语音、面部特征、虹膜、视网膜图案、个人手写签名、击键特征和语言模式等行为生物识别特征。
- 位置因子,包含特定位置、特定设备、特定IP范围。
- 时间因子,特定的时间段。
如果两个身份认证方式为一种身份认证因子类型,此认证方式为单因子认证,而不是双因子认证。例如用户密码+安全问题验证、身份证+短信验证码等,均为单因子认证。
双因子认证必须是两种不同类型的认证因子,来实现用户身份认证。
2FA的典型应用有哪些?
- 秘密信息因子+物品因子:公司员工通过VPN远程登录办公系统,采用用户密码+短信验证码的认证方式场景。邮箱、社交软件登录系统,采用用户密码+图片文字识别的认证方式场景。
- 秘密信息因子+生物特征因子:网络游戏、网络购物、手机APP等支付系统,采用用户密码+短信验证码/扫描二维码的认证方式场景。
- 秘密信息因子+位置因子:电子邮箱、电子社交软件登录系统,采用用户密码+特定IP范围的认证方式场景。
- 秘密信息因子+时间因子:各手机APP优惠券兑换系统,采用用户密码+特定时间的认证方式场景。
- 物品因子+生物特征因子:火车站、机场验票系统,采用有效证件(如身份证、护照)+面部识别认证方式场景。
2FA认证流程是什么?
- 用户登录应用程序。
- 用户输入登录凭证,通常是账号和密码,做初始身份验证。
- 验证成功后,然后将提示用户提交第二个身份验证因子。
- 用户将第二个身份验证因子输入至应用程序,如果第二个身份验证因子通过,用户将通过身份验证并被授予对应的系统操作权限。
2FA与MFA的区别是什么?
参数项 |
2FA与MFA的区别 |
---|---|
认证因子个数 |
2FA≤MFA,2FA需要两种不同类型的认证因子,MFA需要两种及以上不同类型的认证因子。 |
安全性 |
2FA<MFA,MFA要求用户提交更多类型的认证因子,提高用户账户的安全性和可靠性。 |
用户数量 |
2FA≥MFA,2FA一般应用在大众日常工作、生活中,三种及以上不同类型的认证因子的MFA一般应用在科研、军事等特殊行业人员中。 |
用户体验 |
2FA≥MFA,多一种类型认证因子,操作过程中就多一个认证步骤和等待时间,从而导致用户体验感下降。 |
安装、维护成本 |
2FA≤MFA,多一种类型认证因子就会相应增加网络设备、软件系统复杂程度、以及后期的维护成本。 |
保密信息级别 |
2FA≤MFA,三种及以上不同类型认证因子的MFA保护的是高精尖级别的科研、军事等机密、绝密信息和成果。 |
可参考上述2FA和MFA的区别,按实际使用场景和网络情况选择合适的用户身份验证方式,来确保数据和系统的安全性和可操作性。
华为防火墙常用的认证方式
- 本地认证:访问者通过Portal认证页面将标识其身份的用户名和密码发送给防火墙,防火墙上存储了密码,验证过程在防火墙上进行。
- 服务器认证:访问者通过Portal认证页面将标识其身份的用户名和密码发送给防火墙,防火墙上没有存储密码,防火墙将用户名和密码发送至第三方认证服务器,验证过程在认证服务器上进行。
- 单点登录(Single Sign-On):访问者将标识其身份的用户名和密码发送给第三方认证服务器,认证通过后,第三方认证服务器将访问者的身份信息发送给登录设备。登录设备只记录访问者的身份信息不参与认证过程。
更多产品介绍请参见:华为AI防火墙,产品配置维护请参见:HiSecEngine USG6000F 用户接入与认证配置指南、HUAWEI USG6000E 用户与认证配置指南。
- 作者: 张林翠
- 最近更新: 2023-07-26
- 浏览次数: 26318
- 平均得分: