使用QR码的2FA认证

Question

是否有人能确认下面的解决方案实际上是2FA？

用户必须安装一个特殊的移动应用程序。当第一次打开移动应用程序时，用户被要求将设备与系统中的帐户相关联。

在web登录屏幕上，会显示QR代码。用户打开先前安装的移动应用程序，并扫描QR。然后，使用手机的生物特征对用户的指纹进行检查。

关于它是如何实现的，我没有技术细节。我想确定它是否可以被认为是2FA。

Answer 1

这里有几个移动部件，当然，您并没有全部的技术细节，但它表面上确实是2FA，但请注意：

• 该应用程序与帐户和手机相关联，使手机成为一个因素(但这取决于手机如何与帐户相关联)
• 登录过程需要对指纹进行生物特征扫描，使手指成为一个因素。

这个过程与手机上的2FA应用程序(谷歌认证、LastPass认证、微软认证等等)没有什么不同。这需要生物认证才能打开并使用推送通知。在您的例子中，推送通知似乎是通过QR代码完成的。

然而，这是相当薄弱的，没有密码的2FA。因为所有相关的因素都包含在手机中，这使得这更像是一个"1.5因素认证“。手机的应用程序是账户的主要因素，而应用程序也有自己的因素，即手机硬件控制的生物识别功能。像这样把他们链接在一起并不是真实的2FA帐户。它更像是两个"1FA“进程在同一个设备上链接在一起。这很重要，因为设备的丢失将整个保护方案置于危险之中；您正依赖于电话功能的安全性。

它能被认为是“有效的2FA”吗？这是可以争辩的。老实说，我会避而不谈，坚持"1.5因素“的答案。我知道这不是一个明确的答案，但要划定的界限将取决于你为什么需要知道这是否是2FA。

Answer 2

如果身份验证至少使用了以下两项内容，则是多因素的：

• “你知道的东西”(即密码)
• “你拥有的东西”(即智能卡)
• “你所做的事情”(即打字；这样机器学习就能认识到这一点)
• “你是什么”(即你的指纹)
• “你在什么地方”(即地理位置)

因此，在您的例子中，QR代码用于获取登录链接。正如您所看到的，它与上面的任何一个都不匹配。一旦你的用户收到链接，他就会使用他的指纹，那就是“你是什么东西”。因此，我们可以得出结论，它不是2FA，因为它只使用一个因素。

但是，如果您的QR定期刷新并绑定到唯一的加密用户会话，那么它就是“您知道的东西”。因为为了让其他人知道它，他需要窃取用户会话。