【身份与访问控制工程】MFA、TOTP、WebAuthn、Passkey 工程实践
💡
原文中文,约24400字,阅读约需59分钟。
📝
内容提要
多因子认证(MFA)是保护用户资产和企业数据的基本要求。文章讨论了MFA的不同方法及其安全性,指出SMS OTP存在安全隐患,推荐使用更安全的TOTP和WebAuthn。WebAuthn通过将凭据与域名绑定,提高了抗钓鱼能力。Passkey作为新兴技术,提供了更好的用户体验,但也带来了云账户安全风险。企业应根据风险选择合适的MFA方案,并重视用户教育与恢复流程。
🎯
关键要点
- 多因子认证(MFA)是保护用户资产和企业数据的基本要求。
- SMS OTP存在安全隐患,推荐使用更安全的TOTP和WebAuthn。
- WebAuthn通过将凭据与域名绑定,提高了抗钓鱼能力。
- Passkey作为新兴技术,提供了更好的用户体验,但也带来了云账户安全风险。
- 企业应根据风险选择合适的MFA方案,并重视用户教育与恢复流程。
❓
延伸问答
多因子认证(MFA)有哪些常见方法?
常见的多因子认证方法包括短信验证码(SMS OTP)、电子邮件验证码(Email OTP)、基于时间的一次性密码(TOTP)、推送通知、硬件FIDO密钥和平台身份验证器(WebAuthn)。
为什么SMS OTP被认为不安全?
SMS OTP存在多种安全隐患,如SIM卡接管、SS7漏洞和运营商内部权限问题,因此被认为不安全。
WebAuthn如何提高抗钓鱼能力?
WebAuthn通过将凭据与域名绑定,确保凭据只能在特定域名下使用,从而提高了抗钓鱼能力。
Passkey技术的优势和风险是什么?
Passkey技术提供了更好的用户体验和抗钓鱼能力,但也带来了云账户安全风险,如账户接管和设备共享问题。
企业在选择MFA方案时应考虑哪些因素?
企业应根据风险评估选择合适的MFA方案,并重视用户教育与恢复流程,以确保安全性和用户体验。
TOTP的安全性如何?
TOTP的凭据不经过任何通道传输,每30秒本地计算一次,攻击者需要在实时钓鱼站点前才能使用偷来的6位数字,因此比SMS OTP更安全。
➡️
