MFA 涉及人们生活的方方面面，验证的方式也是多种多样。本篇文章作者将从 MFA 常用的六种常用方式分析其中的优劣，提供应对措施，希望能对大家有所帮助。

一、什么是多因素身份验证 ( MFA ) ？

MFA 是一种身份验证方法，它为传统的基于密码的身份验证过程增加了一层额外的保护。MFA 要求用户提供至少两个身份验证因素，以证明其身份并获得对系统或应用程序的访问权限。

二、MFA 中常用的因素包括

1. 知识因素

知识因素是只有用户自己知道的信息，例如用户名、密码、短信验证码、电子邮件验证码、安全问题等。

2. 拥有因素

拥有因素是只有用户拥有的实体物体，例如安装了身份验证应用程序的移动设备等。

3. 固有因素

固有因素是用户所独有的物理特征，例如一个人的指纹、面部特征等。

4. 行为因素

行为因素是基于用户的行为模式验证其身份，例如用户通常登录的位置、IP 地址、时间、设备等。

5. 认知因素

认知因素是基于用户的认知能力验证其身份，例如滑动拼合拼图、正确识别扭曲的字母或数字、音频识别等。

三、各因素优劣分析

1. 短信验证码

受到 SIM 卡交换攻击，攻击者首先获取有关用户的个人信息，例如他们的姓名、电话号码、帐户详细信息，然后联系受害者的移动网络提供商，声称丢失或损坏了他们的 SIM 卡，攻击者提供用户的个人信息作为身份证明，并要求将用户的电话号码转移到受攻击者控制的新 SIM 卡上，一旦控制了用户的电话号码，他们就可以接收短信验证码并获得对用户帐户的未授权访问。

受到短信钓鱼攻击，攻击者发送一条看似来自可信来源的欺诈消息，该消息提示用户单击链接或提供个人信息请求，例如登录凭据或验证码。如果用户上当受骗并提供请求的信息，攻击者就会捕获这些信息，然后使用它来获得对用户帐户的未授权访问。

验证短信需要移动网络连接，如果用户所在的区域移动网络覆盖较差或完全没有覆盖，他们可能延迟或无法接收验证短信，导致他们无法登录或高效登录。

2. 电子邮件验证码

如果用户使用邮箱帐户注册平台帐户，并为两个帐户设置相同的密码，攻击者破解邮箱帐户密码就可以获得邮箱验证码并使用它来获得对平台帐户的未授权访问。

受到网络钓鱼攻击，攻击者发送一条看似来自可信来源的欺诈性电子邮件，以诱骗收件人提供个人敏感信息，例如登录凭据或验证码。如果用户上当受骗并提供请求的信息，攻击者就会捕获这些信息，然后使用它来获得对用户帐户的未授权访问。

验证步骤繁琐，用户需要在不同的应用程序（例如，邮箱应用和用户试图访问的应用）或设备之间切换完成验证过程。

电子邮件的发送和接收可能会延迟或最终进入垃圾邮件箱。

3. 安全问题

缺乏保密性，个人信息经常通过各种在线平台、社交媒体或数据泄露而被共享或暴露，这使得攻击者很容易收集个人信息绕过安全问题并获得对用户帐户的未授权访问。

问题数量有限，用户只能从平台预先提供的有限的问题池中进行选择，可能很难选择对他们来说真正独特且难忘的问题。此外，有限数量的安全问题也可以减少攻击者需要猜测的问题池。

4. 生物识别验证

指纹、面部特征等生物特征在本质上对个人来说是独一无二的，很难复制或伪造它们。

用户可以简单的使用生物识别特征来验证自己，节省时间且消除了手动输入有误的可能性。

5. 身份验证应用

以谷歌验证器为例：

谷歌验证器离线工作，不依赖网络连接来生成身份验证代码，在网络连接受限的情况下非常有用。

谷歌验证器离线工作，身份验证代码在用户设备上本地生成，不会通过互联网传输，避免了身份验证过程中身份验证代码被拦截或泄露的风险。

如果安装了谷歌验证器的用户移动设备在没有备份 QR 码或备份代码的情况下丢失或遭破坏，可能会影响用户访问受谷歌身份验证器保护的账户。

6. 图像识别、音频识别

图像识别、音频识别等认知因素对某些有认知障碍或残疾的用户来说可能具有挑战性，可能会使他们难以访问自己的帐户。

综上，虽然多因素身份验证可以通过密码之外的其它验证因素来显著提高安全性，但它并非牢不可破，并且仍然容易受到某些类型的攻击。因此，采取额外的预防措施来增强帐户安全性至关重要。

四、作为用户，建议采取的预防措施

1. 预防网络钓鱼

以下是网络钓鱼消息的一些常见特征，可以帮助区分：