三、MFA有哪些？MFA 使用两个或多个因素的任意组合来验证身份，并保护重要资产免受欺诈访问 。从原理上来来讲，MFA主要利用如下三个主要因素来确认身份：

• 用户拥有的东西 — 实物，例如银行卡、身份证、U 盘、设备 。
• 用户知道的东西—一个“秘密”，比如密码或 PIN 。
• 用户是谁—生物特征，如指纹、声音、虹膜扫描和其他生理特征 。

在典型的 MFA 部署中，用户首先使用用户名-密码组合登录应用程序 。如果有效，则提示他们进一步进行MFA认证 。采用 MFA 最重要的原因和目标就是账号安全问题 。账号问题引起的数据泄露越来越常见，安全性变得越来越重要 。2019年，29%的数据泄露与凭证被盗有关，1.5%的网络登录与凭证入侵有关 。
此外，许多人在不同在线账户上重复使用相同的密码 。根据 TeleSign 的数据，71%的账户使用与其他网站相同的密码 。攻击者盗取一次数据就能获得大量被破坏的凭证，并在其他站点上测试所有的用户名-密码组合，使用相同的密码盗取帐户 。这种类型的攻击称为凭证填充攻击 。
MFA 是防止账户被盗取最好的方法之一，无论凭证填充攻击或其他攻击 。攻击者如果想要破坏受 MFA 保护的帐户，那他们不仅需要盗取凭证，还需要验证额外附加的因素 。MFA 极大地增加了攻击者入侵帐户所需的时间和精力，这样他们就很难进行大规模的攻击活动 。
当然了，实现MFA的方法多种多样，安全效果自然也大相径庭 。我们不妨分析一下常见MFA方法，看看哪种验证因子更为有效 。
四、5种MFA多因素验证方法用短信作为第二个身份验证因子很是常见 。用短信向用户手机发送随机的四到六位数字，理论上只有持有正确手机的人才能通过验证，对吧？
很不幸，答案是否定的，已有多种方法被证明可以黑掉OTP 。
比如说，2018年6月中旬，黑客就是通过短信拦截而黑掉了新闻娱乐网站Reddit 。虽然黑客并未获得太多个人信息(Reddit的事件响应工作很棒)，还是暴露出了短信身份验证码并不像人们通常以为的那么安全 。利用蜂窝网络漏洞就能拦截短信 。受害者手机上安装的恶意软件也能重定向短信到攻击者的手机 。对手机运营商的社会工程攻击可以使攻击者复制出与受害者手机号相关联的新SIM卡，接收到受害者的OTP短信 。
实际上，美国标准与技术研究所(NIST)在2016年就不赞成使用短信身份验证了，认为该方法不再是安全的身份验证方法 。但不幸的是，很多公司企业还在继续依赖短信OTP，给用户一种虚假的安全感 。
作为现役MFA方法中的老大哥，硬件身份验证令牌常以带OTP显示屏的密钥卡的形式存在，硬件本身保护着其内部唯一密钥 。但硬件密钥卡的缺陷也很明显 。首先，用户不得不随身携带这个额外的设备；其次，贵，且需要物流递送；最后，必须不时更换 。某些硬件令牌需要USB连接，在需要从手机或平板进行验证的时候就很棘手了 。
手机令牌很大程度上与硬件令牌类似，但是通过手机应用实现的 。手机令牌最大的优势在于用户只需要带个智能手机就行了，而智能手机现在基本属于必备品，很多人忘带钥匙都不会忘带手机 。真正的问题是要审查令牌进入手机的方式，也就是“激活过程” 。以二维码提供进入凭证可不是个好主意，任何能复制你二维码的人都能掌握你令牌的副本 。
一种脱胎于常见手机令牌和短信验证码的验证令牌，运用安全推送技术进行身份验证，因易用性提升而受到用户欢迎 。与短信不同，推送消息不含OTP，而是包含只能被用户手机上特定App打开的加密信息 。因此，用户拥有上下文相关信息可供判断登录尝试是否真实，然后快速同意或拒绝验证 。如果同意，用户手机上的令牌应生成一个OTP，连同该同意授权一起发回以供验证使用 。但由于不是所有MFA解决方案都这么做，也就增加了推送同意消息被摹写和伪造的风险 。

• 火锅怎么配料 火锅底料的配料
• 小学生环保标语牌怎么画 小学生环保画标语
• 纳税申报流程步骤 怎么申报纳税的流程
• 家里破烂太多影响风水 破烂的家具怎么处理
• 陕西的特色美食是什么 臊子面自己怎么做
• 离婚后一方不愿意抚养孩子应该怎么处理
• 为什么我的抖音没有弹幕？弹幕怎么开？
• 拼多多实名认证怎么解除？实名认证有风险吗？
• 淘宝客网站推广有效果吗？淘宝客怎么推广？
• 拼多多十万销量怎么改？销量上不去怎么办？