当前的多因素身份验证实现不是在很大程度上依赖于单个故障点吗？

Question

许多双因素身份验证方法似乎都依赖于文本消息、电子邮件或像谷歌认证器这样的一次性密码作为身份验证的第二步。

这些方法似乎都依赖于用户手机的安全性。例如，如果你偷了某人的手机，你可以去他们的浏览器，如果你知道密码或使用他们保存的密码，你可以登录，然后通过打开他们的认证应用程序、电子邮件或短信来执行第二步。

这难道不是整个系统的一个大弱点吗？这一关切以前是否曾被表达过，是否有其他更安全的选择？

Answer 1

这完全取决于你想要保护自己不受什么影响。通常，2FA是为了保护您免受远程威胁。那些不能进入你的手机(99%的地球)。

如果您的手机成为一个单一的故障点，那么您需要使用所有推荐的功能，如强密码，远程擦除和加密设备，保护这一点。

Answer 2

2FA并不仅仅表示使用一次性密钥(就像使用RSA这样的令牌)或应用程序(比如)，甚至是使用一个一次性密钥的文本或电话。

2 2FA可以是下列任意2种的组合：

• 你拥有的东西(卡片，一次钥匙，令牌，特定证书或设备)=你所拥有的东西(指纹，Retina.)
• 一些你知道的东西(密码，关键词..)
• 你所处的地方(全球地理位置，i.g. )(办公室、州、国家.)

每一种情况下，你都会计算风险，例如有人可以获得你的设备，猜你的密码，截取短信或电话。

根据您想要保护的内容和风险，您将确定要使用哪种身份验证组合。您应该权衡用户的易用性和安全因素。

例如，您所拥有的东西更安全，因为它很难复制(就目前而言)，但是使用的易用性要稍微困难一些，特别是对于远程用户。

甚至有这样的事情，一个3FA或更多。

至于2FA，请记住，你不一定总是把坏人拒之门外。你只是想让这件事变得更难，所以他们需要更复杂的技巧才能进入或转向更容易的目标，而不是你。

2 2FA只是帮助您确保数据安全的一个步骤。监控登录尝试失败和成功，行为监控等等。

Answer 3

这不是很好的保护，以防止一个非常有针对性的攻击，这可能会花费大量的时间在你身上。

但这不是今天的主要威胁。主要威胁是密码泄漏、密码重用、自动密钥记录器和用于自动攻击的弱密码。与此相反，即使是弱的2FA也能发挥很大的作用，因为攻击者并没有特别针对任何人，并且将最小的资源花在了一个帐户上。

2FA a la google身份验证器可以防止密码猜测、用于访问帐户的个人电脑上的密钥记录器、肩部冲浪和其他常见的威胁。这不是一个完美的解决方案。如果您需要更好的安全性，例如Yubikey，它本质上是智能卡技术。