双因子认证
双因子认证 Two-factor authentication (TFA or 2FA)
双因子认证的定义是指使用两种独立不相干的证据来证明身份。什么叫独立不相干的证据呢?目前在电子计算领域(或者,所谓数字世界),算的上独立证据的有下面三类:
- 被认证的人所知道的某个秘密,例如,Passwords或者PIN;
- 被认证的人所拥有的某个东西,例如,护照,USB KEY,或者磁条卡;
- 被认证的人身上所固有的特性,例如,指纹,相貌,声音等等。
依靠上述任何两种组合完成的认证,都可以称为是双因子认证。
由于目前网络应用最常用的单因子认证都是用户名和密码验证,因此网络应用要求的双因子验证都是配合用户名和密码验证方式的增强方式,也就是,上述1+2或者1+3模式。从应用上来看,1+2的模式更容易做系统迁移和维护。
双因子认证的实现类型
USB令牌
智能卡和USB KEY。事实上,两者的差别非常类似:某些智能卡可以支持USB接口;而且二者都是带微控制器,小的CHIP OS,还有安全存储区。当登录WEB服务的时候,必须插入USB KEY,然后配合用户名和密码一齐提交服务器去认证。
OTP令牌
OTP令牌是一个单独带数码液晶窗的小设备,通常带1个按钮,内部有可以支持设备正常工作1-2年的一个电池。OTP令牌有伪随机数生成单元,在发行的时候做了时钟校对,之后,每10秒产生一个数字并且可以显示在数码LCD上。OTP的意思是One Time Passwords,很显然,这个密码用一次之后,下次就不会使用了。当登录WEB服务的时候,输入用户名和密码,还有这个OTP令牌的随机数一齐去获得认证。
短信OTP令牌
短信OTP令牌是当用户登录WEB服务时,先输入用户名和密码,得到认证之后,服务器将会立即给预先登记的手机号码发一条带一次性PIN码的短信。用户收到之后,必须再输入这个短信PIN码来获得相应的使用权限。
码本
用户依据拥有的印刷的码本来回答WEB服务器的第二验证密码的问题。一种设计是,在10X10的格子里印有密码数字,用户根据登录页面提示的坐标去查看这个位置的密码数来输入第二验证密码。
生物特征认证
生物特征是属于被认证人生来具有的属性,因而是第三类的验证。能够用来作为认证的生物特征有指纹,声音,虹膜和脸部识别。近年来还有公司开发了静脉识别。生物特征认证的问题很多,有设别速度,识别率,设备成本等等。另外,和数字密码的可更改性比较,生物特征基本上对成人而言是终身的。