英文原文：two-factor authentication (2FA)

双因子验证(2FA)，有时又被称作两步验证或许双要素验证，是一种平安验证进程。在这一验证过程当中，需求用户供给两种分歧的认证要素来证实本人的身份，从而起到更好地维护用户证书和用户可拜访的资本。双因子验证比基于单因子的验证方法供给了一种更初级此外包管。在单因子验证中，用户只需供给一种认证因子 —— 普通状况下是一个暗码或许口令。双因子验证方法不只需求用户供给一个暗码，并且需求一个第二个因子，凡是状况下这一因子会是一个平安令牌或许生物辨认因子像指纹和脸部扫描。

由于仅仅晓得受益人的暗码缺乏以经过认证反省，双因子认证经过增加进犯者拜访用户装备和在线账户的难度的方法到达了为身份验证进程添加额定平安层的目标。双因子验证持久以来被用以把持敏感系统和数据的拜访，在线服务商也愈来愈多地运用双因子验证来维护他们用户的数据，以防由于黑客窃取暗码数据库或许应用收集垂钓活动获得用户暗码，招致用户证书被运用。

身份认证的要素是甚么？

人们在分歧的状况下可使用多种办法实行身份认证。今朝，大大多数身份认证办法依靠于像传统暗码那样的认知要素，而双要素身份认证会添加持有物要素或特点要素。

认证要素按盘算采取的近似次序罗列以下：

1. 认知要素指用户所晓得的事物，比方暗码、PIN 码或其它类型的同享密钥。

2. 持有物要素指用户具有的工具，比方身份证，平安令牌，智妙手机或其它Mobile装备。

3. 特点要素，更多时分被称为生物辨认要素，是用户本身固有的特征。这些多是从物理特点映照出来个人属性，比方经过指纹浏览器认证的指纹；其它特点要素还包含脸部辨认和语音辨认。另外还包含一些行动特点，比方击键力度，步态或语音形式。

4. 地位要素，凡是是指测验考试认证时所处的地位，可以特定地位的特定装备来强迫限制认证，更常用的方法是跟踪认证起源的 IP 地址或起源于Mobile德律风或其他装备（如GPS数据）的天文信息。

5. 工夫要素限制用户在特定的工夫窗口内认证登录，并在该工夫以外限制对系统的拜访。

需求留意的是，绝大大多数双因子验证办法依靠前三个验证因子，虽然更高平安性的系统可能会运用它们来完成多因子验证，多因子验证可以依靠两个或多个自力凭证来完成更平安的身份验证。

甚么是双因子验证？

双因子验证是多因子验证的一种方式。技术上，但凡需求两个验证因子才干拜访的系统或服务，就能够运用它。但是，运用统一种别的两个因子其实不组成 2FA；例如：需求暗码和同享密钥依然被以为是单因子验证，由于他们都属于统一个验证因子 —— 常识。

就单因子验证服务而言，用户 ID 和暗码不是最平安的。基于暗码验证的一个问题是需求常识和尽力来创立并记着强暗码。暗码需求维护免受非常多外部要挟，像不警惕保存的带有登录凭证的便签、旧的硬盘和社交工程破绽。暗码也轻易收到内部要挟，比方黑客运用暴力、字典或彩虹表方法进犯。

假如赐与足够的工夫和资本，进犯者凡是可以攻破基于暗码的平安系统。暗码依然是单因子验证的最多见方式，由于它本钱低、易于完成而且大师都很熟习。多个质询-呼应可以供给更高的平安性，这取决于它们是怎么完成的，自力的生物特点验证办法也能够供给更平安的单因子验证方法。

双因子认证产品的类型

有非常多分歧的装备和服务来完成 2FA —— 从令牌、RFID卡到智妙手机使用顺序。

双因子验证产品可以分为两类：登录时供给给用户运用的令牌，和能准确辨认和验证运用令牌用户的拜访的根底设备或软件。

验证令牌多是物理装备，如 key fobs 或 smart cards，或许它们可能存在于软件中，作为Mobile或桌面使用顺序，生成用于身份验证的 PIN 码。这些验证码（也称为一次性暗码）凡是由Server生成，可以经过身份验证装备或使用顺序辨认为可托任的。身份验证码是链接到特定装备、用户或帐户的短序列，可以作为身份验证进程的一部分运用。

组织需求安排一个系统来承受、处置并答应（或回绝）用户运用令牌实行身份验证的拜访。这可以以Server软件、专用硬件Server或第三方供给商供给的服务方式安排。

2FA 的一个主要部分是断定经过身份验证的用户取得了对一切被同意运用的资本的拜访权 —— 而且只拜访那些资本。因而，2FA 的一个关键功用就是将认证系统与组织的认证数据衔接起来。微软经过 Windows Hello，供给了一些需要的根底设备，让组织机构可以经过 Windows 10 支撑 2FA，它可使用 Microsoft 帐户实行操作，也能够经过 Microsoft Active Directory (AD)、Azure AD 或 FIDO 2.0 对用户实行身份验证。

2FA 硬件令牌怎么任务

2FA 的硬件令牌支撑分歧的身份验证办法。一个盛行的硬件令牌是 YubiKey，这是一个小型 USB 装备，支撑一次性暗码(OTP)、公钥加密、身份验证和 FIDO 同盟开发的通用第二因子协议。YubiKey token 由位于加州帕洛阿尔托的 Yubico 公司发卖。

当具有 YubiKey 的用户登录支撑 OTP 的在线服务（例如 Gmail、GitHub 或 WordPress）时，他们将 YubiKey 拔出其装备的 USB 端口，输出暗码，单击 YubiKey 字段并触摸 YubiKey 按钮。YubiKey 生成 OTP 并在字段中输出。

OTP 是一个 44 个字符的一次性暗码；前 12 个字符是一个独一ID，用于标识在帐户中注册的平安密钥。剩下的 32 个字符包括的信息运用一个只要装备和 Yubico Server晓得的密钥实行加密，这个密钥是在初始帐户注册时期树立的。

在线服务将 OTP 发送到 Yubico 实行身份验证反省。一旦 OTP 被验证，Yubico 身份验证Server 将前往一条音讯，确认这是该用户的准确令牌。2FA 验证进程就完成了。用户供给了两个身份验证因子：暗码是常识因子，YubiKey 是占领因子。

Mobile装备身份验证的双因子认证

智妙手机为 2FA 供给了多种可能性，答应公司运用最合适他们的产品。一些装备可以辨认指纹；内置摄像头可用于脸部辨认或虹膜扫描，麦克风可用于语音辨认。装备 GPS 的智妙手机可以作为另外一个因子验证地位。语音或短音讯服务(SMS)也能够用作带外身份验证的通道。

Apple iOS，Google Android，Windows 10 和 BlackBerry OS 10 都有支撑 2FA 的使用，答应手机自身作为物理装备来知足占领率。Duo Security 总部位于密歇根州安阿伯市，并于 2018 年以 23.5 亿美元的价钱被思科收买，是一家 2FA 平台供给商，其产品让客户可以运用其牢靠的装备取得 2FA。Duo 的平台起首断定用户是可托的，然后验证他们的Mobile装备也能够对用户实行身份验证。

身份验证器使用顺序代替了经过文本、语音呼唤或电子邮件获得验证码的需求。例如，要拜访支撑 Google 身份验证器的网站或基于收集的服务，用户会输出用户名和暗码 —— 常识因子。然后提醒用户输出六位数字。身份验证器不用等候几秒钟才干收到短信，而是为它们生成号码。这些数字每 30 秒更改一次，每次登录时都会有所分歧。经过输出准确的数字，用户完成用户验证进程并证实具有准确的装备 —— 一切权因子。

双因子认证能否平安？

固然双因子认证的确进步了平安性 —— 由于拜访权不再仅仅依靠于暗码的强度 —— 双因子认证计划的平安性仅与最单薄的组件一样。例如，硬件令牌取决于刊行者或制作商的平安性。双因子系统收到侵害的最有目共睹的案例之一发作在 2011 年，事先平安公司 RSA Security 陈述其 SecurID 身份验证令牌遭到黑客入侵。

当在帐户恢复的过程当中运用了失败的双因子验证也会推翻恢复进程，由于它凡是会重置用户确当前暗码并经过邮件发送暂时暗码来答应用户从头登录，从而绕过2FA流程。CloudflareCEO的营业Gmail帐户就蒙受过黑客这类方法的入侵。

固然基于SMS的2FA本钱不高，易于完成，并且对用户很友好，可是也轻易遭到大量进犯。NIST在其特别出书物800-63-3：数字身份指南中支持在2FA服务中运用SMS。NIST以为因为手机号的可移植性，经过短信发送的一次性暗码过分软弱，像信令系统7这类黑客进犯Mobile德律风收集，像Eurograbber这类歹意软件可以阻拦或重定向文本信息。

本文中的一切译文仅用于进修和交换目标，转载请务必注明文章译者、出处、和本文链接。 2KB翻译任务按照 CC 协议，假如我们的任务有进犯到您的权益，请实时联络我们。

2KB项目（www.2kb.com，源码交易平台）,提供担保交易、源码交易、虚拟商品、在家创业、在线创业、任务交易、网站设计、软件设计、网络兼职、站长交易、域名交易、链接买卖、网站交易、广告买卖、站长培训、建站美工等服务