身份驗證：雙重還是多重？

■ 山東 李文竹 趙長林

編者按： 身份認證是確保用戶登錄安全的重要手段，毫無疑問多重認證比雙重認證更加安全，但現實是雙重認證應用更加普遍，這只是因為雙重認證更加便捷嗎？

根據安全意識培訓公司對IT專家的調查，僅有少數大型公司使用多重身份驗證，多數中小型企業并沒有采用多重身份驗證。

多重身份驗證要求使用超過一種認證方法驗證用戶身份，企業部署這種方法后，可使攻擊更難以達成目標。那么，為什么這種身份驗證方法并沒有被廣泛采用？

造成這種現象的原因是什么？有些人傾向于選擇阻力最小的路徑。有的人相信多重身份驗證并不是最快最簡單最方便的實施方案。雖然并沒有哪種多重身份驗證方案適用于任何企業，但我們也不應當將多重身份驗證看作是一個難以部署到現有安全框架中的安全控制。

無論是從技術還是從安全控制方面，還是從企業擁有的技術技能方面，每個企業都不同。因而，用以實施多重身份驗證的時間、工作量、成本也有很大不同。一個非常重要的問題是要考慮不同的環境（例如本地環境、云環境、混合云等），判定哪些應用需要多重身份驗證，然后找到適應現有策略、控制、安全目標的最佳方案。

雙重認證

對IT安全團隊來說，另一個重要的問題是要理解多重身份驗證（以下簡稱“多重認證”）與雙因子身份驗證（以下簡稱“雙重認證”）的細微卻可能是重要的差別。

雙重認證可謂是多重認證的一個子集，它要求用戶提供用戶名和口令的組合來驗證其身份。當今，多數雙重認證方案都通過向用戶手機發送一個唯一的一次性的代碼而運行，當然，用戶的手機號是已被用戶確認并與賬戶匹配的。

例如，谷歌驗證器（Google Authenticator）和Authy會在用戶手機上生成兩步的驗證代碼，而Duo Mobile可通過推送的通知來驗證用戶身份，有助于防止網絡釣魚和其他基于身份的攻擊。

但為什么企業更多采用雙重認證呢？雙重認證的方便和相對的時間節省也許算不了什么，但值得冒險嗎？尤其是考慮到當今多數數據泄露都涉及到攻擊者破壞用戶登錄憑據，并使用這些憑據訪問企業的網絡和敏感資產，這個問題尤為值得關注。

談到雙重認證失效的大型案例，就不得不提及Reddit。2018年6月，Reddit發現攻擊者已通過云和源代碼的托管供應商竊取了幾個雇員的賬戶。此時，該公司就在使用基于短消息的雙重認證，即向用戶發送一個需要輸入到應用程序的短信驗證碼。這種形式的雙重認證簡單、便利、對用戶友好，并得到廣泛使用。但其弊端在于極易遭到短消息劫持攻擊，而這正是Reddit數據泄露的主要攻擊手段。

需要考慮的其他因素

設備識別產品有助于減輕基本的雙重認證所固有的一些漏洞。這種解決方案通過向認證服務器注冊一個用戶ID而運行。認證服務器和客戶端在特定時間后使用用戶的ID生成一個新令牌。在用戶試圖登錄到應用程序時，服務器要進行檢查，查看所生成的數值是否匹配，如果匹配，就允許用戶訪問。

雖然再增加額外的認證因素可能不適合那些尋求最快速度和最大便捷性的用戶需要，我們很難反對易于使用性，但是如果與更大的麻煩和潛在的數據泄露危害相比較，我們更難以反對多因素認證的組合。