什么是多因素身份验证,你应该使用它吗?

多因素身份验证"width=
在登录时采取严格的安全措施可以帮助保护您的帐户,并大大降低许多自动网络攻击的可能性。ESB专业/伤风

数据泄露正在成为司空见惯的事无论大小科技公司。最近的受害者是澳大利亚电信公司Optus导致大约1000万人的身份数据在未经授权的情况下被访问。

更让受害者痛苦的是,这次网络攻击进一步引发了大量后续事件网络钓鱼而且欺诈的尝试利用这次入侵获得的数据。

广告

在登录时采取更严格的安全措施可以帮助保护您的帐户,而且效果显著降低可能性许多自动化的网络攻击

多因素身份验证(MFA)是一种需要用户提供的安全措施两个(也称为两步验证或两步认证)或更多身份证明以获得数字服务。这通常需要用户知道的东西(密码、秘密问题)、你拥有的东西(卡片、令牌)或你的东西(指纹或其他生物特征)的组合。

例如,澳大利亚税务局最近收紧了对数字服务提供商的一些规定强制使用多因素身份验证.如果您使用某些服务,您就已经熟悉MFA了。

并不是所有的MFA解决方案都是一样的最近的研究展示了一些简单的方法来颠覆更常用的方法发起网络攻击

此外,人们也更喜欢不同的MFA选项,这取决于他们的需求和技术悟性水平。

那么目前有哪些可用的选项,它们的优点和缺点,以及它们适合哪些人?

广告

多因素认证主要有四种方法

  • 短信,即文本:目前最常见的选择是通过短信发送一次性密码(如代码)。虽然相当流行和容易使用,密码或代码短信给你可以通常被黑客攻击通过手机上的恶意应用程序或者将短信重定向到另一部手机。如果你的智能手机没有服务或关机,这个方法也会失败。
  • Authenticator-based:另一种常见的方法是安装在智能手机上的应用程序(如谷歌Authenticator)生成一次性有效的密码,有效期很短,如30秒。虽然比短信更安全,但恶意应用程序仍然可以窃取这些一次性密码.如果你的智能手机没电了,这个方法也会失效。
  • 手机应用程序:类似于验证程序,但会向用户发送验证提示,而不是一次性密码。这需要你的智能手机有一个活跃的互联网连接,并已开机。
  • 物理安全密钥:最安全的机制;它使用硬件安全密钥(例如YubiKeyVeriMark飞天狗),需要连接到设备上验证身份——其中许多看起来很像USB记忆棒。这是目前领先的方法,得到了一些公司的支持谷歌,亚马逊和微软,以及世界各地的政府机构
多因素身份验证"width=
YubiKey是一种可以连接到设备上验证身份的物理密钥。
Formatoriginal /伤风

这四种方法的可用性和安全性各不相同。例如,数据显示,尽管物理安全密钥提供了最高级别的安全性,但采用率却是最低的只有10%的摄取

广告

优先事项

不同的多因素身份验证类型不仅安全性不同,而且受欢迎程度也不同。这就导致了最可靠的MFA方法(物理安全密钥)实际上是最重要的广泛使用的(短信/文本)。

我们的团队来自迪肯大学网络安全研究与创新中心最近进行了一项采用MFA技术的研究。我们调查了400多名参与者,他们属于不同的年龄组、教育背景和MFA经验。

广告

我们的研究结果表明,人们的偏好不仅受到安全需求的影响,还受到可用性的影响。广大用户最关心的是简单这清楚地解释了为什么基于文本的解决方案仍然占据主导地位,即使有更安全的替代方案。

在我们的后续研究中,用户被给予最流行的物理安全密钥一个月,在无人监督的情况下进行测试。初步结果显示,大多数用户认为物理按键使用起来既有效又直观。

18新利最新登入然而,缺乏平台支持和安装说明造成了一个感知这些密钥的安装和使用既困难又复杂,导致缺乏采用的意愿。

广告

一种尺寸并不适合所有人

我们认为,在任何政府机构或公司授权MFA之前,都需要仔细考虑,需要考虑几个关键步骤。

不同的人和组织会有不同的需求,因此在某些情况下,几种方法的组合可能效果最好。例如,基于文本的解决方案可以与物理安全密钥一起使用,以访问需要更高级别安全性的关键基础设施系统。

广告

此外,用户教育和意识也是至关重要的。许多人没有意识到MFA的重要性,也不知道哪种方法是最安全的。

通过承担一些个人责任,并使用高效的方法,如物理安全密钥来保护我们最脆弱的帐户,我们都可以尽自己的一份力量,使网络成为一个更安全的地方。

钟基尔·杰伊·郑是澳大利亚迪肯大学网络安全研究与创新中心(CSRI)的高级研究员。

阿施施南达是澳大利亚迪肯大学网络安全研究与创新中心(CSRI)的CyberCRC研究员。

赛义德·瓦吉德·阿里·沙阿他是澳大利亚迪肯大学网络安全研究与创新中心CSCRC研究员。

本文转载自谈话在创作共用许可下你可以在原文在这里。

广告

特色

广告

加载……
Baidu