对于2FA，一种方法比另一种方法更好(更安全)吗？

Question

例如，2FA - LastPass有多种可供选择的选项，提供了以下所有选项：

• LastPass认证器
• 双安全认证
• Google认证器
• Yubikey多因素认证
• RSA SecurID
• 芝麻多因素认证

..。诸若此类。我也听说过其他2FA选项- SMS、SmartCard、TOTP (不确定确切的是什么)，等等。

就我所知，主要的区别似乎是基于硬件的解决方案(如Yubikey)和基于软件的解决方案(例如，各种“身份验证”智能手机应用程序)。

从信息安全POV来看，这些选项之一是否提供了更高级别的安全性？换句话说，对于普通用户来说，最安全的2FA可用形式是什么？

Answer 1

一般说来，所有这些安全产品都足以满足临时终端用户的需要.当涉及到最终用户时，大多数漏洞来自于用户使用它的方式，而不是方法本身的弱点。例如，你会把你的RSA SecureID卡放在你的孩子很容易访问的地方吗？如果您使用代码生成应用程序，那么您的手机是否有一个强大的密码锁？

正如@SteffenUllrich所提到的，如果您碰巧在移动设备上获得了根用户访问的间谍软件--这比您预期的更常见(请参阅StageFright和驱动下载)，那么您的短信、电子邮件甚至是基于应用程序的方法都可能受到影响。

我认为，如果你仔细考虑了你如何使用它，并在你的设备上有良好的安全实践，那么这些方法中的任何一种对于那些担心数据库泄漏导致的通过(即非目标)密码破解的普通终端用户来说都是很好的。如果你想多走一英里，牺牲一些方便，那么我想订购的是SMS/email < app/OTP/TOTP < hardware token。

现在，如果你不是一个“普通”的最终用户，而是一个高价值的目标，国家行为者正试图闯入，那么一切都变了。例如，如果你和美国政府的国安局成了敌人，他们就能嗅到通过短信或电子邮件发送给你的任何代码，并且很可能嗅到谷歌认证应用程序第一次安装的数据包(或者，你知道，只需向谷歌询问代码)。在这种情况下，硬件令牌确实是王牌，因为它们完全是“带外”(即互联网上没有什么敏感的东西)。

为了完整起见，这里有一个来自多因素标记的标记wiki的副本(我编写了这个标记)。

您可以将2FA方法分为三大类：

1. 一些你知道的信息，比如密码，或者你母亲的娘家名字，或者存储在密钥文件中的公钥。
2. 您拥有的东西--通常是一个物理对象，比如可以在您的号码上接收SMS的电话，或者一个一次性密码(OTP)令牌或启用公钥的智能卡/ USB棒：

1. 你是什么:也就是“生物特征”，比如指纹，虹膜，声音，打字节奏等等。

将auth方法分成这些类别的原因是，每一种方法都需要一种非常不同的盗窃类型，黑客才能获得它。

如果您需要从以上多个目录中提供身份证明，则它正确地称为“双因素身份验证”或“多因素身份验证”。如果您提供来自同一类别的多个项，则称为“多步骤身份验证”，这显然比多因素弱。

Answer 2

当考虑两个因素认证或多因素认证时，你必须看看第二个因素--在拥有的情况下。

• 占有因素必须是唯一的。
• 你需要意识到，当它被偷/合二为一时
• 您需要能够撤销它并重新注册它。(不利于生物识别)

认证设备

您可以区分身份验证设备，例如

硬件<->软件

可种<-->不可种

硬件设备会存储秘密密钥，这实际上是硬件中占有因素的体现。秘密钥匙不能在你意识到的情况下被偷。

但你也要注意分配过程。不可播种的硬件将附带一个种子文件在光盘上。如果供应商保留了种子的副本，则硬件令牌可能会在您不知情的情况下被合并。

可播种的标记是避免这种情况的好方法。但是请注意: google认证器也是一个“可播种”的令牌。你自己正在产生秘密密钥。但是这个秘密密钥的存储不是很好，因为我们正在处理一个软件令牌.

身份验证后端

此外，您还需要查看身份验证后端。如果您对托管服务没有意见，您就需要下定决心。所以你需要信任提供者。如果您是在前提下运行，则可以在封闭源代码解决方案和开放源代码解决方案之间进行选择。选择这个，你会觉得更安全。

免责声明:我参与了privacyIDEA，它是一个开源的前提身份验证解决方案，支持上述所有令牌类型。

底线

我想指出的是，很难定义安全级别的排名。因为保安是..。...multi的维度和依赖于很多因素来考虑。

如果你决定某种技术或解决方案。写下你的想法和决策过程，这样你才能知道你愿意承担哪些副作用或缺点。安全从来就不是100%。而且，了解您所使用的系统的一般情况或限制总是很好的。