浅谈双因素身份验证的三个风险和缺点

虽然有些人可能因为懒得去想而使用易破解的弱密码，但强密码并非坚不可摧。它们可能被拦截，被键盘记录或因大数据攻击而被泄露。

在过去几年，双因素身份验证（或双重身份验证，two-factor authentication）日益被采用，主要原因是单个密码太脆弱，添加第二层保护可以保证账户更安全。然而，双因素身份验证并非无可挑剔。如果你不注意这些忽视的风险，它就可能“反咬”你一口。

身份验证因素类型

多因素身份验证是一种要求用户提供多项身份确认证据的方法。如果使用者不能准确提供所有的验证因素，系统将不会授予其账户访问权限。顾名思义，双因素身份验证是系统需要两项确认。

尽管可以将多种身份验证因素用作系统的一部分，但它们通常属于以下三类之一：

˙知识（你知道的事）：如果你能证明你知道某些信息（如个人标识号、安全问题答案和退税细节），则系统会接受你。 ˙拥有（你拥有的东西）：如果你能证明自己拥有某个物理设备——比如USB密钥、读卡器、短讯代码、身份验证Aapp和无线卷标——则系统会接受你。 ˙固有（你是谁）：系统透过生物辨识对比来接受你，比如指纹扫描仪、视网膜扫描仪和语音识别。

与任何系统一样，认证系统也可能出问题。来看看双因素身份验证的三个风险和缺点：

1.因素可能会丢失

你的身份验证因素在需要时并不一定可以使用。通常在发生一次错误后，会被拒绝访问你的账户。

在没电或手机进水损坏的情况下，你可能无法获得你的短讯代码作为第二个验证因素。依靠USB密钥作为第二个因素也有风险，你很容易将它乱放或将它意外送进洗衣店。如果你信任个人标识号（PIN）等因素，也总有可能忘记它，而生物识别因素（如眼睛和指纹）也可能会因为事故而失灵。

最近，由于没有办法给手机充电，飓风哈维（Harvey）和埃玛（Irma）的受难者发现自己无法访问自己的账户。如果没有手机，就无法获取身份验证；如果没有验证，则无法进入自己的账户。

虽然账户恢复是可能的，但这可能比较费时并且困难。另外，如果你用单个因素保护多个账户，而却又丢失了这个因素，那么你就需要恢复所有这些账户。

2.虚假安全

双重身份验证提供了一定程度的安全性，但它通常被夸大了。例如，如果你因为失去了某个因素而被拒绝在某项服务之外，那么你与尝试盗访你账户的黑客基本上处于同样的困境。如果你可以在没有访问因素的情况下重置你的账户，那么黑客也可以。

恢复选项通常与双重身份验证的初衷相矛盾，这就是为什么像苹果（Apple）这样的公司已经取消它们的原因。但是，如果没有恢复选项，你的帐户可能会永远丢失。

还有像PayPal这样的服务使用双重身份验证，但并没有完全执行。该公司提供了名为“PayPal安全密钥”的第二个因素，但在2014年，可不费吹灰之力地完全绕过它。

总而言之，这意味着你可采用双因素身份验证，但你的账户仍非固若金汤。

3.作茧自缚

虽然双重身份验证是为了防止黑客侵入你的账户，相反情况也可能发生。黑客可以设置或重新配置双因素身份验证，将你锁在自己账户之外。

双重身份验证可能不足以有效保护你的账户，但在你不小心时，反倒可能太过有效。因为使用双重实践可改善服务并使账户恢复更困难，所以在黑客下手前，对你必要的账户设置身份验证是合理的。