在密码基础上结合短信验证码或生物识别等不同类型的认证要素进行身份验证的安全方法。在无现金支付和网上银行中,是防止未授权访问的重要防御措施。
双因素认证的三种认证要素与组合
认证要素分为"知识要素(Something you know)""持有要素(Something you have)""生物要素(Something you are)"三类。知识要素是密码或 PIN 码,持有要素是智能手机或硬件令牌,生物要素是指纹或面部识别。双因素认证通过组合其中不同的两种,即使一种要素泄露也能防止未授权访问。
最常见的组合是"密码(知识)+ 短信验证码(持有)",但短信存在 SIM 卡交换攻击的风险,因此更安全的方法是"密码 + 认证应用(Google Authenticator、Microsoft Authenticator)"或"密码 + 生物识别"。支持 FIDO2/WebAuthn 标准的通行密钥作为无密码且同时满足持有要素和生物要素的下一代认证方式正在普及。
无现金支付中双因素认证的实际应用
在无现金支付服务中,登录时和高额支付时两个场景通常需要双因素认证。PayPay 和乐天 Pay 等二维码支付应用在首次登录时必须进行短信认证,更换设备时也需要重新认证。信用卡的在线支付中,3D Secure(Visa Secure、Mastercard Identity Check)承担双因素认证的角色。
实际使用中需要注意的是,即使启用了双因素认证,如果在钓鱼网站上输入了认证码也会被突破。在被称为实时钓鱼的手法中,攻击者介入正规网站和用户之间,将输入的认证码立即转发到正规网站。对策是养成必须确认 URL 的习惯,如果可能的话使用具有防钓鱼能力的通行密钥或 FIDO2 安全密钥。