淺談雙因素身份驗證的三個風險和缺點

雖然有些人可能因為懶得去想而使用易破解的弱密碼，但強密碼并非堅不可摧。它們可能被攔截，被鍵盤記錄或因大數(shù)據攻擊而被泄露。

在過去幾年，雙因素身份驗證（或雙重身份驗證，two-factor authentication）日益被采用，主要原因是單個密碼太脆弱，添加第二層保護可以保證賬戶更安全。然而，雙因素身份驗證并非無可挑剔。如果你不注意這些忽視的風險，它就可能“反咬”你一口。

身份驗證因素類型

多因素身份驗證是一種要求用戶提供多項身份確認證據的方法。如果使用者不能準確提供所有的驗證因素，系統(tǒng)將不會授予其賬戶訪問權限。顧名思義，雙因素身份驗證是系統(tǒng)需要兩項確認。

盡管可以將多種身份驗證因素用作系統(tǒng)的一部分，但它們通常屬于以下三類之一：

˙知識（你知道的事）：如果你能證明你知道某些信息（如個人標識號、安全問題答案和退稅細節(jié)），則系統(tǒng)會接受你。 ˙擁有（你擁有的東西）：如果你能證明自己擁有某個物理設備——比如USB密鑰、讀卡器、短訊代碼、身份驗證Aapp和無線卷標——則系統(tǒng)會接受你。 ˙固有（你是誰）：系統(tǒng)透過生物辨識對比來接受你，比如指紋掃描儀、視網膜掃描儀和語音識別。

與任何系統(tǒng)一樣，認證系統(tǒng)也可能出問題。來看看雙因素身份驗證的三個風險和缺點：

1.因素可能會丟失

你的身份驗證因素在需要時并不一定可以使用。通常在發(fā)生一次錯誤后，會被拒絕訪問你的賬戶。

在沒電或手機進水損壞的情況下，你可能無法獲得你的短訊代碼作為第二個驗證因素。依靠USB密鑰作為第二個因素也有風險，你很容易將它亂放或將它意外送進洗衣店。如果你信任個人標識號（PIN）等因素，也總有可能忘記它，而生物識別因素（如眼睛和指紋）也可能會因為事故而失靈。

最近，由于沒有辦法給手機充電，颶風哈維（Harvey）和埃瑪（Irma）的受難者發(fā)現(xiàn)自己無法訪問自己的賬戶。如果沒有手機，就無法獲取身份驗證；如果沒有驗證，則無法進入自己的賬戶。

雖然賬戶恢復是可能的，但這可能比較費時并且困難。另外，如果你用單個因素保護多個賬戶，而卻又丟失了這個因素，那么你就需要恢復所有這些賬戶。

2.虛假安全

雙重身份驗證提供了一定程度的安全性，但它通常被夸大了。例如，如果你因為失去了某個因素而被拒絕在某項服務之外，那么你與嘗試盜訪你賬戶的黑客基本上處于同樣的困境。如果你可以在沒有訪問因素的情況下重置你的賬戶，那么黑客也可以。

恢復選項通常與雙重身份驗證的初衷相矛盾，這就是為什么像蘋果（Apple）這樣的公司已經取消它們的原因。但是，如果沒有恢復選項，你的帳戶可能會永遠丟失。

還有像PayPal這樣的服務使用雙重身份驗證，但并沒有完全執(zhí)行。該公司提供了名為“PayPal安全密鑰”的第二個因素，但在2014年，可不費吹灰之力地完全繞過它。

總而言之，這意味著你可采用雙因素身份驗證，但你的賬戶仍非固若金湯。

3.作繭自縛

雖然雙重身份驗證是為了防止黑客侵入你的賬戶，相反情況也可能發(fā)生。黑客可以設置或重新配置雙因素身份驗證，將你鎖在自己賬戶之外。

雙重身份驗證可能不足以有效保護你的賬戶，但在你不小心時，反倒可能太過有效。因為使用雙重實踐可改善服務并使賬戶恢復更困難，所以在黑客下手前，對你必要的賬戶設置身份驗證是合理的。