主流的双因素认证 Ukey FIDO OTP对比介绍

MFA，多因素身份验证，它是一种安全系统，是为了验证一项交易的合理性而实行多种身份验证。可以使用三种因素来确认身份：

Ø您所拥有的东西—比如银行卡，钥匙或Ukey。

Ø您所知道的东西—比如密码或PIN。

Ø您本身就是生物识别因素—比如指纹，语音，虹膜扫描和其他物理特征。

MFA使用两个或多个因素的任意组合来验证身份并保护重要资产免受欺诈性访问。到目前为止，我们都使用了双因素身份验证（2FA）来进行在线授权登录，方法是将密码与发送到移动设备的SMS代码结合起来。如果有一个因素受到影响，系统仍然是安全的。

采用 MFA 的一个重要原因是安全问题的出现。这意味着远程攻击者需要物理访问第二个因素。数据泄露越来越常见，大量用户名和密码被泄露，安全性变得越来越重要。重复使用的密码是一个潜在的安全问题，因为如果密码曾经被泄露，那么如果它被用作另一个站点的登录名，黑客就可以使用它来访问其他帐户。人们还继续选择错误的密码。这种习惯很常见，主要示例仍然是“123456”、“qwerty”、“admin”和“password”。专注于重复使用密码的 SpyCloud 发现，基于 Netflix 和 Disney+ 等在线流媒体服务内容的密码有所增加。最高的“流行文化”密码是 Loki，其次是 Falcon 和 Wanda。

随着等保2.0普及，越来越多的应用需要采用双因素认证或多因素认证，即多种认证方式组合使用来保证用户登录的安全性。目前常见的WEB应用登录身份认证登录方式包括USBkey ID绑定登录，OTP动态口令，USBkey签名验签，CA数字证书，FIDO快速身份认证等。各种认证方式的对比如下：

USB Key ID：服务器端绑定用户名和KeyID，这样客户端登录时，进行验证；优点是集成方便，但安全性是最低的，同时需要客户端安装插件读取KeyID。

OTP：一次动态口令验证，是指计算器系统或其他数字设备上只能使用一次的密码，有效期为只有一次登录会话或交易。相对于静态密码，OTP 最重要的优点是它们不容易受到重放攻击。这意味着管理记录已用于登录到服务或进行交易的 OTP 的潜在入侵者将无法滥用它，因为它将不再有效。第二个主要优点是，使用多个系统相同（或类似）密码的用户，如果其中一个密码被攻击者获得，不是对所有的系统都容易变得脆弱。

USBKey签名验签：采用非对称密钥，安全性高。通过安装客户端插件，可以不受浏览器限制，后端易于集成，对PC上Web应用支持性较好。

CA数字证书：由于基于非对称密钥，安全性相对最高，可以采用双向认证方式支持。服务器证书可由第三方可信机构签发，标识，便于用户识别和通讯加密。防范网站假冒钓鱼以及数据安全。客户端证书由客户自己签发（微软CA、openssl等）。相比于其它认证方式，对服务器资源消耗更多，成本也高一些。

FIDO快速身份认证：和CA数字证书认证一样，基于非对称密钥，服务器端只保存客户公钥，私钥只留存在客户端，安全性高。同时一个USBkey中可以注册多个密钥对，同时实现多个应用系统的支持。而且FIDO在多个操作系统上的安全和易于访问，支持Windows10/11、macOS、Linux、Android平台，以及 Google Chrome、MozillaFirefox、MicrosoftEdge、360和 AppleSafari等多数网络浏览器；客户端无需安装任何插件。