两步对双因素认证有什么区别吗？

Question

这些天来，在网络上通常使用的认证形式有三种：

• 单因素认证，例如:密码或密码。
• 双因素认证，例如:单因素加软件或硬件生成的令牌代码或智能卡.
• “两步”认证，例如:单因素加发送给用户带外的代码。

通常，两步认证的第二步是用户通过电子邮件或短信接收代码，并在使用的网站/应用程序上(或之后)输入密码。电子邮件收件箱或接收电话可以被视为“您拥有的东西”，因此将其限定为双因素身份验证。但是，第二步实际使用的代码(以及用于访问接收代码的帐户/设备的凭据)仍然是“您知道的事情”。

那么，两步认证是双因素认证的一种新形式吗？还是真的只是多因素认证？

Answer 1

双因素认证是指认证机制，在这些机制中，两个身份验证元素在“你拥有的东西”、“你是什么东西”和“你知道的东西”方面属于不同的类别。

需要两个物理密钥、两个密码或两种生物特征识别形式的多步骤认证方案并不是双重因素，但这两个步骤可能是有价值的。

这方面的一个很好的例子是Gmail所需的两步身份验证。在提供你记住的密码之后，你还需要提供你手机上显示的一次性密码。虽然手机看起来像是“你拥有的东西”，但从安全的角度来看，它仍然是“你知道的东西”。这是因为认证的关键不是设备本身，而是存储在设备上的信息，理论上攻击者可以复制这些信息。因此，通过复制已记住的密码和OTP配置，攻击者可以成功地模拟您，而无需实际窃取任何物理信息。

多因素认证的要点，以及严格区分的原因，是攻击者必须成功地进行两种不同类型的盗窃案来冒充您:例如，他必须同时获得您的知识和物理设备。在多步骤(但不是多因素)的情况下，攻击者只需完成一种类型的盗窃，只需多次。例如，他需要窃取两条信息，但不需要物理对象。

由Google、Facebook或Twitter提供的多步骤认证仍然强大到足以击退大多数攻击者，但从纯粹主义的角度来看，从技术上讲，它不是多因素身份验证。

Answer 2

下面是解释这些差异的流程图。

来源：https://ramblingrant.co.uk/the-difference-between-two-factor-and-two-step-authentication

Answer 3

我不会把“两步”归类为区别。这是一个因素的机制，你可能知道，也可能不知道。例如，如果代码被发送到手机，那么它实际上就是你知道的东西(密码)和你拥有的东西(手机)。如果它被发送到电子邮件，它实际上仍然是单一的因素，因为电子邮件和帐户都是(很可能)密码派生的。

当然，在电子邮件意义上，它仍然是一种验证机制，但它并没有增加任何东西，就像请求第二个密码来进行身份验证一样。