两因素身份验证的不足之处

已发表: 2021-01-26

网页设计师不断受到安全建议的轰炸。 我们获悉最佳实践、安全漏洞及其必要的补丁。 这足以让你头晕目眩。

当然,这都是重要且善意的。 在线安全是一个不断变化的目标,即使是最大的参与者也容易受到影响。 因此,我们有责任跟上最新的发展。

双重身份验证 (2FA) 一直是保持在线帐户安全的最受吹捧的技术之一。 您会看到从银行到社交媒体的所有地方都在实施它。 它也可以很容易地安装在您自己的网站上。

虽然 2FA 可以有效地阻止未经授权访问我们的帐户,但它也有一些潜在的主要缺点。 最近,我亲身体验了这一点。 以下是发生的事情以及它帮助造成的混乱。

跨提供者的不同实现——使用一个公共线程

就像几乎所有其他技术一样,可以通过多种方式实现双因素身份验证。 用户可以通过 SMS 消息、电子邮件或来自 Google Authenticator 等应用程序的验证码进行身份验证。 他们还可能会选择每次登录时显示的可信照片,以确保他们不在网络钓鱼网站上。

有时服务提供商会给您一个选择。 但很多时候,你会被他们提供的任何方法所困。 您通过 2FA 保护的帐户越多,这一切就会变得越复杂。

例如,很多地方都为您的手机使用 SMS 消息。 但话又说回来,有些人还需要该身份验证应用程序。 还有一些人会有不同的看法。 挑战在于尝试跟踪谁使用了哪些技术,并确保您手头有正确的工具。

但似乎大多数方法确实有一个共同点:它们依赖于您的移动设备来工作。 那肯定很方便。 不过,如果该设备发生故障怎么办?

一部 iPhone

失败的电话导致混乱

这就是我发现自己所处的情况,因为我的 Android 手机上的移动数据连接出了问题。 短信被延迟了几个小时或根本没有送达。 住在同一所房子和同一网络上的家庭成员可以很好地收到他们的消息。 这让我相信这是某种硬件故障。

正如在这种困境中所做的那样,我尝试了许多补救措施。 这包括工厂重置手机的可怕“核选项”。 值得一试,对吧?

这里的麻烦是双重的。 首先,它没有解决短信问题。 更糟糕的是,它使我退出了我所有的各种帐户。 谷歌、脸书、推特等都遭到了攻击。 也许这对我的心理健康更好,但对工作/娱乐可能不太好。

尝试重新登录这些帐户并非易事。 为什么? 当然是因为 2FA。

谷歌特别强硬,因为它给我的仅有的两个选项与我的手机相关联。 它想给我发一条短信——但那是行不通的。 他们还允许使用 Google Authenticator 代码。 这本来很棒,但它需要我登录到我的 Google 帐户才能访问代码。

解决方案是最终启动我的台式计算机并暂时关闭 Google 的 2FA(他们真的不喜欢这样)。 松了一口气,我找回了我的 Gmail。

为了更有趣,我不得不对其他几个帐户重复类似的过程。 具有讽刺意味的是,我无法通过桌面访问我的网上银行,因为它依赖于短信验证。 但是,我可以通过手机访问它,因为没有这样的要求。 光是想想就让我不寒而栗。

当然,我的情况并不是独一无二的。 任何无法访问其移动设备的人都可能很容易陷入同一条船上。

一部屏幕裂开的手机。

得到教训

与 2FA 相关的挫败感可以作为一个可教的时刻。 我们这些以建立网站为生的人为提高安全性而拍拍自己的后背——这是正确的。 但实施这项技术本身并不是我们使命的结束。

相反,它需要一些认真的思考。 在向您的网站添加双重身份验证之前,请记住以下几点:

2FA 不一定是要求

强迫用户使用双因素身份验证很诱人。 在某些高风险情况下,这是有道理的。

但对于大多数网站,您可以考虑使用严格的密码要求。 例如,如果您正在运行一个不包含任何秘密内容的会员网站,则 2FA 可能是可选的。 但也许您要求用户每六个月更改一次密码。

这对用户来说稍微少了一些麻烦,希望对您来说更少的支持工作。 并且不要忘记可访问性。 尽管有假设,但并非每个人都可以访问多个设备。

提供替代品

虽然从维护的角度来看可能很困难,但提供不止一种 2FA 方法可能是有益的。 用户可以选择最适合他们的口味。 或者,在紧要关头,如果他们的移动设备不可用,他们甚至可以改变他们正在使用的东西。

除此之外,至少为人们在遇到问题时提供一种与您联系的简便方法。 当您无法访问您的帐户并且没有人可以提供帮助时,这是非常令人沮丧的。

期待一些挑战

有可能一切都做对了,但仍然会遇到登录问题的用户。 例如,一些 2FA 实施提供一次性使用的备用代码。 当您选择的身份验证方法不起作用时,它们非常有用。

然而,并不是每个人都会花时间保存或打印这些代码(我肯定没有)。 因此,为即将发生的不可避免的问题做好准备是很重要的。

电话上显示密码屏幕。

两因素身份验证很有帮助,但远非完美

总而言之,有很多理由喜欢 2FA。 实施起来相当简单,它有助于防止对用户数据的未经授权的访问。 并且有许多不同的方法可用。

不过,它并非没有缺点。 正如我发现的那样,一部不稳定的手机会导致很多问题。 无法登录您最重要的帐户会使您的生活陷入停顿。 想象一下无法访问您的银行帐户甚至您的手机提供商。

因此,无论如何,为您的网站和应用程序添加两因素身份验证。 但请提前计划并尝试使该过程对用户来说没有痛苦。 您可以期待一个更安全的环境——只是不要期待奇迹。