什么是双因素身份验证 (2FA)？

双因素身份验证 (2FA)是一种安全过程，在这种过程中，用户提供两种不同的身份验证因素来验证自己。此方法是一种额外的安全层，旨在确保试图访问在线帐户的人符合他们所说的身份。第一个因素通常是密码或个人识别号 (PIN)，第二个因素可以是物理对象（例如智能卡或安全令牌），也可以是生物识别（例如指纹或面部识别）或位置信号。

双因素身份验证的要素

双因素身份验证 (2FA)通常涉及结合以下类别中的两种不同类型的身份验证方法。

知识因素 - 您知道的事情

这可能是密码、PIN 码或安全问题的答案。

拥有因素 - 您拥有的东西

这可能是物理令牌，例如智能卡或 USB 安全密钥，或者是由用户智能手机上的身份验证器应用程序生成的虚拟令牌。这些虚拟令牌称为一次性密码 (OTP) 或基于时间的一次性密码 (TOTP)。

生物识别因素 - 您的身份

生物识别信息，例如指纹、面容识别或虹膜扫描。

位置因素 - 您所在的位置

您的地理位置。某些应用程序和服务仅可供位于特定地理位置内的用户访问。此特定身份验证因素经常用于零信任安全环境。

双因素身份验证 (2FA)与多因素身份验证 (MFA)：有什么区别？

双因素身份验证 (2FA)是一种结合两种不同身份验证因素的安全过程。相比之下，多因素身份验证 (MFA) 使用两个或多个身份验证因素，提供更高级别的安全性。简单地说，2FA 是一种 MFA，MFA 可能需要比 2FA 更多的身份验证步骤，以进一步增强安全性。有关详细信息，请查看这篇文章。

双因素身份验证与两步验证：有什么区别？

双因素身份验证 (2FA)要求用户提供两种不同类型的身份验证凭证来验证其身份。这些凭证来自用户知道的事情（例如密码）、用户拥有的东西（例如智能手机）或用户生物识别的内在方面（例如指纹）。因此，2FA 需要使用两个完全独立的安全层，从而增强身份验证过程的安全性。因此，即使一个凭证受到损害，第二个仍然用于保护帐户。

相反，两步验证（也称为两步身份验证）涉及一个过程，要求用户完成两个不同阶段来确认其身份。值得注意的是，这些阶段可能不需要不同类型的身份验证凭证。例如，初始步骤可能涉及输入密码，然后在后续步骤中使用发送到用户移动电话的临时代码。两步验证的基本方面是其对两个独立操作的需求，这些操作不需要涉及不同的身份验证凭证类型。

功能	两步验证 (2FA)	两步验证 (2SV)
定义	需要两种不同类型的身份验证因素。	需要两个验证步骤，这些步骤可能来自相同或不同类型的因素。
身份验证因素	使用两种不同因素：您知道的事情（密码）、您拥有的东西（安全令牌、电话）或您的身份（生物识别验证）。	可能使用相同类型因素的两个实例（例如，密码后面跟着通过 SMS 发送的代码）或不同类型因素的两个实例。
安全级别	通常被认为更安全，因为它需要来自用户的两种不同类型的证据，这使得未经授权的访问更加困难。	通过单个密码提供额外的安全性，但如果两个步骤使用类似因素，则可能不如 2FA 安全。

2FA 的身份验证方法

有多种方法来实现双因素身份验证 (2FA)，并且根据用户的需求和安全要求选择每种方法。下面是 2FA 的一些常见方法。

1. 基于 SMS 的身份验证

在基于 SMS 的身份验证中，当用户尝试登录时，会从服务器发送临时身份验证代码到用户的移动电话。用户需要在登录过程中输入此身份验证代码。此方法的优点在于它可以很容易地实现，因为大多数用户都有移动电话。但是，存在安全风险，例如拦截 SMS 消息和 SIM 卡交换攻击，因此，如果其他选项可用，不建议使用此方法。

2. 身份验证应用程序

使用 2FA 的身份验证应用程序（例如，某些密码管理器、Google Authenticator、Authy）比基于 SMS 的身份验证更安全。在此方法中，用户使用其智能手机上的身份验证应用程序生成临时身份验证代码。在登录时，需要输入此代码。身份验证代码每隔几秒钟更改，这提高了安全性。此外，它不需要 Internet 连接，因此可以在离线环境中使用。

3. 物理安全密钥

使用物理安全密钥（例如，YubiKey）允许用户通过将特定 USB 设备或 NFC 设备连接到其计算机或智能手机进行身份验证。此方法被认为非常强大，可以防止钓鱼攻击。由于安全密钥是物理拥有，因此它有效降低了未经授权访问的风险，但还需要考虑丢失密钥的风险。

4. 生物识别身份验证

生物识别身份验证使用用户的生物识别信息（例如指纹、面部识别或虹膜识别）进行身份验证。此方法对用户非常方便，并提供高安全性。移动设备和一些最新计算机上广泛支持生物识别身份验证。但是，由于生物识别信息无法更改，因此还必须考虑信息泄漏的风险。