一般來說,要登入某個系統時,輸入帳號密碼後系統便可驗證是否為正確的使用者。也就是說,只要是知道此組帳號密碼的人,無論是誰都可以登入。若沒有保管好自身的帳號密碼時,個人資料很有可能就會外洩。因此許多服務開始提供雙重認證,以降低被盜用的可能性。
什麼是雙重認證?
誠如前面所提到的情況,單純依靠帳號密碼無法確認是否為帳號所有人。而雙重認證(Two Factor Authentication, 2FA),或稱為「雙因素認證」,便是在三種不同的條件之中,使用兩種來進行使用者的驗證。例如,在ATM提款時,除了插入卡片外還需要輸入PIN碼;或是在輸入帳號密碼後,要求輸入手機簡訊內的驗證碼。這類的驗證方式我們稱之為雙重認證。而三種條件可分為「What You Know」、「What You Have」以及「What You Are」。
What You Know : 密碼、PIN碼、身分證字號等,需要使用者記憶的資訊。
What You Have : 手機、IC卡、鑰匙等,使用者所擁有的物品。
What You Are : 指紋、虹膜、聲音等,使用者的生物特徵。
在前面所舉的兩個例子中,便是使用了「What You Know」與「What You Have」。要注意的是,雙重認證所定義的是兩種不同的驗證方式,若只是輸入兩次不同的密碼,也就是只使用到「What You Know」,這樣是不能稱為使用雙重認證的。
雙重認證是完美的嗎?
在密碼驗證上添加第二層防護的雙重認證,雖然降低了被盜用的可能性,但雙重認證並非完美無缺。除了操作較麻煩以外,只要使用者遺失了其中一項便無法進行驗證。而若該系統有辦法在遺失其中一項條件的情況下尚可進行登入或重置帳戶,那便失去雙重認證的意義。
雙重認證有好有壞,雖然需要較多步驟來完成驗證,但能夠在帳戶的安全性上獲得一定程度的保障。建議於具有敏感資料的系統上,使用雙重認證來降低帳戶被盜用與資料外洩的可能性。
延伸閱讀 : Reddit員工帳號遭駭,疑似是基於簡訊的雙因素驗證惹的禍
Reference
關於密碼的雙因素認證(two-factor authentication ),你應該要知道的5件事