双因子身份验证(Two-Factor Authentication, 2FA)是多因子身份验证(Multi-Factor Authentication, MFA)的一种。这两种身份验证解决方案都需要额外的身份验证因素来保障帐户的安全性。
在区别 2FA 和 MFA 有什么不同之前,我们先来了解身份验证的概念和身份验证因素。
身份验证是身份访问管理(Identity and Access Management, IAM)的一个基本概念,让系统能够验证用户的身份。身份验证因素是在授予访问权限之前证明用户本人身份的安全机制。
目前存在三种类型的身份验证因素:
知识因素(knowledge factor):一次性密码(one-time password, OTP),个人识别码(PIN)/密码、密保问题的答案
持有的对象(possession factor):移动设备或其他物理设备、硬件令牌(Ukey)、安全令牌/安全密钥
生物特征(inherence factor):生物特征,如指纹、面部识别、视网膜扫描、语音识别等
以下列出了双因子和多因子身份验证的定义,以及这两种安全机制之间的区别。
双因子身份验证(2FA)是多因子身份验证的一种,是一种在授予在线帐户访问权限之前通过两个因素验证最终用户的身份的安全机制。
以下是有关 2FA 的例子:
用户尝试使用其用户名和密码登录在线服务
系统确认登陆凭证正确,提示第二个身份验证因素
用户在其手机上打开身份验证器应用程序,该应用会生成一个安全代码
用户在登陆页面上输入代码并被授予访问权限
多因素身份验证 (MFA)要求用户在授权系统访问之前提供两个或更多不同的身份验证因素。它使用身份验证因素的组合。
以下是 MFA 的示例:
用户尝试使用其用户名和密码登录在线服务。
系统确认登录凭证正确,提示第二个身份验证因素。
用户在物理设备上收到推送通知以确认他们正在尝试登录。
用户被重定向到服务的登录页面,并提示使用面部识别(生物特征)。
系统验证面部识别尝试并授予用户访问权限。
2FA 是 MFA 的一个子集(如下图所示)
2FA 的所有实例包含在 MFA 实例中
但并非所有 MFA 实例都是 2FA
MFA 需要比 2FA 更多的因素来授予用户访问权限
大多数金融、医疗保健、教育和政府机构都提供线上服务,以方便用户使用。这些服务提供商会存储用户的个人身份信息 (Personal Identifiable Information, PII)、受保护的医疗保健信息 (Protected Health Information, PHI)和其他敏感信息。在过去账户保护依赖于单一因素的身份验证(Single-factor Authentication, SFA),通常是使用密码来验证身份,但在如今充满威胁的网络环境下,依赖密码进行验证是远远不够的。
现代网络环境中的犯罪分子能够轻易地在未经授权的情况下访问敏感信息,尤其是通过 SFA 登录。黑客能够使用许多技术来窃取密码并利用用户的个人信息实施恶意攻击或其他犯罪行为。
以下是三种常见的窃取密码的方式:
在这种类型的网络攻击中,黑客策略性地猜测用户的密码,直到他们破解正确的密码组合。当用户的密码强度较弱时,例如生日,这种攻击方式的成功率特别高。
用户或服务提供商无意在网上暴露了的敏感数据,例如 LinkedIn 上的生日,这些数据被黑客发现并利用,从而获得未经授权的访问。历史数据泄露导致的凭据泄露为黑客提供了更容易进行攻击的媒介。尽管存在重大安全隐患,但许多用户仍然在不同帐户中重复使用相同的密码。攻击者可以在同一用户的多个帐户中使用这些泄露的密码反复尝试,直到他们破解正确的密码组合。
黑客在用户毫不知情的情况下,在其系统上安装键盘记录器(Keyloggers)或类似恶意软件。键盘记录器能够记录键盘输入内容并读取被该设备上的剪贴板数据,同时允许黑客窃取密码和其他未经授权访问的信息。
2FA 和 MFA 都是比单因素身份验证 (Single-factor Authentication, SFA) 更安全的身份验证形式,因为这两种身份验证方式不仅仅依赖于密码。而 MFA 则通常被认为比 2FA 更加安全,因为该验证形式通过更多重的因素来验证身份从而有效保障帐户安全。但是,MFA 解决方案的强度取决于其附加身份验证方法的安全性。
比如,电子邮件和短信验证码的安全性不如其他类型的身份验证,因为大量的网络钓鱼诈骗以及犯罪分子破解 SIM 卡的能力会带来额外的网络安全风险。当 MFA 依赖于用户独有且难以复制的生物特征认证因素时,MFA 最为有效。
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我有一个模型:classItem项目有一个属性“商店”基于存储的值,我希望Item对象对特定方法具有不同的行为。Rails中是否有针对此的通用设计模式?如果方法中没有大的if-else语句,这是如何干净利落地完成的? 最佳答案 通常通过Single-TableInheritance. 关于ruby-on-rails-Rails-子类化模型的设计模式是什么?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.co
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
为什么4.1%2返回0.0999999999999996?但是4.2%2==0.2。 最佳答案 参见此处:WhatEveryProgrammerShouldKnowAboutFloating-PointArithmetic实数是无限的。计算机使用的位数有限(今天是32位、64位)。因此计算机进行的浮点运算不能代表所有的实数。0.1是这些数字之一。请注意,这不是与Ruby相关的问题,而是与所有编程语言相关的问题,因为它来自计算机表示实数的方式。 关于ruby-为什么4.1%2使用Ruby返
我希望我的UserPrice模型的属性在它们为空或不验证数值时默认为0。这些属性是tax_rate、shipping_cost和price。classCreateUserPrices8,:scale=>2t.decimal:tax_rate,:precision=>8,:scale=>2t.decimal:shipping_cost,:precision=>8,:scale=>2endendend起初,我将所有3列的:default=>0放在表格中,但我不想要这样,因为它已经填充了字段,我想使用占位符。这是我的UserPrice模型:classUserPrice回答before_val
我有一个表单,其中有很多字段取自数组(而不是模型或对象)。我如何验证这些字段的存在?solve_problem_pathdo|f|%>... 最佳答案 创建一个简单的类来包装请求参数并使用ActiveModel::Validations。#definedsomewhere,atthesimplest:require'ostruct'classSolvetrue#youcouldevencheckthesolutionwithavalidatorvalidatedoerrors.add(:base,"WRONG!!!")unlesss
它不等于主线程的binding,这个toplevel作用域是什么?此作用域与主线程中的binding有何不同?>ruby-e'putsTOPLEVEL_BINDING===binding'false 最佳答案 事实是,TOPLEVEL_BINDING始终引用Binding的预定义全局实例,而Kernel#binding创建的新实例>Binding每次封装当前执行上下文。在顶层,它们都包含相同的绑定(bind),但它们不是同一个对象,您无法使用==或===测试它们的绑定(bind)相等性。putsTOPLEVEL_BINDINGput
