本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>

技术支持 运营商入口 公告
  • 中文
  • English
首页 信息速查 IP知识百科 在线课堂 产品智能选型
首页 信息速查 产品智能选型 IP知识百科
登录
IP知识百科 > 2FA

什么是2FA?

双因子认证2FA(Two Factor Authentication)是一种安全认证过程,需要用户提供两种不同类型的认证因子来表明自己的身份,包括密码、指纹、短信验证码、智能卡、生物识别等多种因素组合,从而提高用户账户的安全性和可靠性。

目录

为什么需要2FA?

对于个人用户,计算机及网络技术的飞速发展和 Internet 的快速普及,人们通过计算机网络交流信息的频率越来越高。近几年电子商务、电子政务和移动支付等模式的兴起,方便了生活的同时,也导致大量敏感和机密信息在网上被传递,如公司合同、商业订单、手机APP支付账号密码、银行账号密码等。由于这些信息对于接收者以外的第三方有严格保密的需求,因此信息传播和使用的安全问题至关重要。

对于企业网络,随着互联网技术的发展,每个企业中存在大量的网络设备,对于这些网络设备的保护至关重要。如果非法用户通过获取管理员权限入侵企业网络设备,进行非法操作,有可能导致敏感信息泄露,甚至整个网络系统的瘫痪。

与此同时,计算机与信息犯罪在近年正在呈现出上升的趋势,攻击手段日趋复杂,且导致越来越大的经济损失,促使所有用户都必须采取有效措施。

故有必要对进入应用程序、服务、网络设备系统的人员进行认证,最常见而简单的访问控制方法是通过2FA身份认证方式确认用户的真实性,提高用户账户的安全性和可靠性。

身份认证因子有哪些分类?

常见的身份认证因子分类有:
  • 秘密信息因子,包含密码、个人身份识别码 (PIN) 、安全问题验证。
  • 物品因子,分为软件令牌和硬件令牌。
    • 软件令牌,包含短信验证码,电子邮件验证链接、验证码,服务商提供的身份验证二维码(例如微信扫码认证)。
    • 硬件令牌,包含身份证、驾驶证、护照、密钥卡、硬件加密锁等专用物品作为安全密钥使用 。
  • 生物特征因子,包含指纹、语音、面部特征、虹膜、视网膜图案、个人手写签名、击键特征和语言模式等行为生物识别特征。
  • 位置因子,包含特定位置、特定设备、特定IP范围。
  • 时间因子,特定的时间段。

如果两个身份认证方式为一种身份认证因子类型,此认证方式为单因子认证,而不是双因子认证。例如用户密码+安全问题验证、身份证+短信验证码等,均为单因子认证。

双因子认证必须是两种不同类型的认证因子,来实现用户身份认证。

2FA的典型应用有哪些?

按照两种不同身份认证因子类型组合,常见的2FA认证典型场景举例如下所示:
  • 秘密信息因子+物品因子:公司员工通过VPN远程登录办公系统,采用用户密码+短信验证码的认证方式场景。邮箱、社交软件登录系统,采用用户密码+图片文字识别的认证方式场景。
  • 秘密信息因子+生物特征因子:网络游戏、网络购物、手机APP等支付系统,采用用户密码+短信验证码/扫描二维码的认证方式场景。
  • 秘密信息因子+位置因子:电子邮箱、电子社交软件登录系统,采用用户密码+特定IP范围的认证方式场景。
  • 秘密信息因子+时间因子:各手机APP优惠券兑换系统,采用用户密码+特定时间的认证方式场景。
  • 物品因子+生物特征因子:火车站、机场验票系统,采用有效证件(如身份证、护照)+面部识别认证方式场景。

2FA认证流程是什么?

用户登录应用程序、服务、网络设备系统时,2FA认证流程原理都相同。下面以应用程序的2FA认证流程为例:
  1. 用户登录应用程序。
  2. 用户输入登录凭证,通常是账号和密码,做初始身份验证。
  3. 验证成功后,然后将提示用户提交第二个身份验证因子。
  4. 用户将第二个身份验证因子输入至应用程序,如果第二个身份验证因子通过,用户将通过身份验证并被授予对应的系统操作权限。

2FA与MFA的区别是什么?

2FA与MFA的区别如下表所示。
表1-1 2FA与MFA的区别

参数项

2FA与MFA的区别

认证因子个数

2FA≤MFA,2FA需要两种不同类型的认证因子,MFA需要两种及以上不同类型的认证因子。

安全性

2FA<MFA,MFA要求用户提交更多类型的认证因子,提高用户账户的安全性和可靠性。

用户数量

2FA≥MFA,2FA一般应用在大众日常工作、生活中,三种及以上不同类型的认证因子的MFA一般应用在科研、军事等特殊行业人员中。

用户体验

2FA≥MFA,多一种类型认证因子,操作过程中就多一个认证步骤和等待时间,从而导致用户体验感下降。

安装、维护成本

2FA≤MFA,多一种类型认证因子就会相应增加网络设备、软件系统复杂程度、以及后期的维护成本。

保密信息级别

2FA≤MFA,三种及以上不同类型认证因子的MFA保护的是高精尖级别的科研、军事等机密、绝密信息和成果。

可参考上述2FA和MFA的区别,按实际使用场景和网络情况选择合适的用户身份验证方式,来确保数据和系统的安全性和可操作性。

华为防火墙常用的认证方式

华为防火墙常用的认证方式有:
  • 本地认证:访问者通过Portal认证页面将标识其身份的用户名和密码发送给防火墙,防火墙上存储了密码,验证过程在防火墙上进行。
  • 服务器认证:访问者通过Portal认证页面将标识其身份的用户名和密码发送给防火墙,防火墙上没有存储密码,防火墙将用户名和密码发送至第三方认证服务器,验证过程在认证服务器上进行。
  • 单点登录(Single Sign-On):访问者将标识其身份的用户名和密码发送给第三方认证服务器,认证通过后,第三方认证服务器将访问者的身份信息发送给登录设备。登录设备只记录访问者的身份信息不参与认证过程。
华为防火墙常用的2FA认证的场景有:
  • 防火墙+RADIUS服务器组网场景:防火墙将用户名密码、验证码转发给RADIUS服务器,RADIUS服务器使用2FA(用户名密码和验证码)对防火墙用户进行认证。其中RADIUS服务器负责提供动态码或短信验证码。
  • 防火墙+HWTACACS服务器组网场景:防火墙将用户名密码、验证码转发给HWTACACS服务器,HWTACACS服务器使用2FA(用户名密码和验证码)对防火墙用户进行认证。其中HWTACACS服务器提供动态验证码。

更多产品介绍请参见:HUAWEI USG6000E 用户与认证配置指南

参考资源
1华为安全产品一本通
2了解华为AI防火墙产品
3HiSecEngine USG6000F 用户接入与认证配置指南
4HUAWEI USG6000E 用户与认证配置指南
相关词条
词条统计
  • 作者: 张林翠
  • 最近更新: 2023-07-26
  • 浏览次数: 15071
  • 平均得分:
页内导航
分享链接到:

版权所有 © 华为技术有限公司 1998-2023。 保留一切权利。粤A2-20044005号