兩因素身份驗證的不足之處

已發表: 2021-01-26

網頁設計師不斷受到安全建議的轟炸。 我們獲悉最佳實踐、安全漏洞及其必要的補丁。 這足以讓你頭暈目眩。

當然,這都是重要且善意的。 在線安全是一個不斷變化的目標,即使是最大的參與者也容易受到影響。 因此,我們有責任跟上最新的發展。

雙重身份驗證 (2FA) 一直是保持在線帳戶安全的最受吹捧的技術之一。 您會看到從銀行到社交媒體的所有地方都在實施它。 它也可以很容易地安裝在您自己的網站上。

雖然 2FA 可以有效地阻止對我們帳戶的未經授權的訪問,但它也有一些潛在的主要缺點。 最近,我親身體驗了這一點。 以下是發生的事情以及它幫助造成的混亂。

跨提供者的不同實現——使用一個公共線程

就像幾乎所有其他技術一樣,可以通過多種方式實現雙因素身份驗證。 用戶可以通過 SMS 消息、電子郵件或來自 Google Authenticator 等應用程序的驗證碼進行身份驗證。 他們還可能會選擇每次登錄時顯示的可信照片,以確保他們不在網絡釣魚網站上。

有時服務提供商會給您一個選擇。 但很多時候,你會被他們提供的任何方法所困。 您通過 2FA 保護的帳戶越多,這一切就會變得越複雜。

例如,很多地方都為您的手機使用 SMS 消息。 但話又說回來,有些人還需要該身份驗證應用程序。 還有一些人會有不同的看法。 挑戰在於嘗試跟踪誰使用了哪些技術,並確保您手頭有正確的工具。

但似乎大多數方法確實有一個共同點:它們依賴於您的移動設備來工作。 那肯定很方便。 不過,如果該設備發生故障怎麼辦?

一部 iPhone

失敗的電話導致混亂

這就是我發現自己所處的情況,因為我的 Android 手機上的移動數據連接出了問題。 短信被延遲了幾個小時或根本沒有送達。 住在同一所房子和同一網絡上的家庭成員可以很好地收到他們的消息。 這讓我相信這是某種硬件故障。

正如在這種困境中所做的那樣,我嘗試了許多補救措施。 這包括工廠重置手機的可怕“核選項”。 值得一試,對吧?

這裡的麻煩是雙重的。 首先,它沒有解決短信問題。 更糟糕的是,它使我退出了我所有的各種帳戶。 谷歌、臉書、推特等都遭到了攻擊。 也許這對我的心理健康更好,但對工作/娛樂可能不太好。

嘗試重新登錄這些帳戶並非易事。 為什麼? 當然是因為 2FA。

谷歌特別強硬,因為它給我的僅有的兩個選項與我的手機相關聯。 它想給我發一條短信——但那是行不通的。 他們還允許使用 Google Authenticator 代碼。 這本來很棒,但它需要我登錄到我的 Google 帳戶才能訪問代碼。

解決方案是最終啟動我的台式計算機並暫時關閉 Google 的 2FA(他們真的不喜歡這樣)。 鬆了一口氣,我找回了我的 Gmail。

為了更有趣,我不得不對其他幾個帳戶重複類似的過程。 具有諷刺意味的是,我無法通過桌面訪問我的網上銀行,因為它依賴於短信驗證。 但是,我可以通過手機訪問它,因為沒有這樣的要求。 光是想想就讓我不寒而栗。

當然,我的情況並不是獨一無二的。 任何無法訪問其移動設備的人都可能很容易陷入同一條船上。

一部屏幕裂開的手機。

得到教訓

與 2FA 相關的挫敗感可以作為一個可教的時刻。 我們這些以建立網站為生的人為提高安全性而拍拍自己的後背——這是正確的。 但實施這項技術本身並不是我們使命的結束。

相反,它需要一些認真的思考。 在向您的網站添加雙重身份驗證之前,請記住以下幾點:

2FA 不一定是要求

強迫用戶使用雙因素身份驗證很誘人。 在某些高風險情況下,這是有道理的。

但對於大多數網站,您可以考慮使用嚴格的密碼要求。 例如,如果您正在運行一個不包含任何秘密內容的會員網站,則 2FA 可能是可選的。 但也許您要求用戶每六個月更改一次密碼。

這對用戶來說稍微少了一些麻煩,希望對您來說更少的支持工作。 並且不要忘記可訪問性。 儘管有假設,但並非每個人都可以訪問多個設備。

提供替代品

雖然從維護的角度來看可能很困難,但提供不止一種 2FA 方法可能是有益的。 用戶可以選擇最適合他們的口味。 或者,在緊要關頭,如果他們的移動設備不可用,他們甚至可以改變他們正在使用的東西。

除此之外,至少為人們在遇到問題時提供一種與您聯繫的簡便方法。 當您無法訪問您的帳戶並且沒有人可以提供幫助時,這是非常令人沮喪的。

期待一些挑戰

有可能一切都做對了,但仍然會遇到登錄問題的用戶。 例如,一些 2FA 實施提供一次性使用的備用代碼。 當您選擇的身份驗證方法不起作用時,它們非常有用。

然而,並不是每個人都會花時間保存或打印這些代碼(我肯定沒有)。 因此,為即將發生的不可避免的問題做好準備是很重要的。

電話上顯示密碼屏幕。

兩因素身份驗證很有幫助,但遠非完美

總而言之,有很多理由喜歡 2FA。 實施起來相當簡單,它有助於防止對用戶數據的未經授權的訪問。 並且有許多不同的方法可用。

不過,它並非沒有缺點。 正如我發現的那樣,一部不穩定的手機會導致很多問題。 無法登錄您最重要的帳戶會使您的生活陷入停頓。 想像一下無法訪問您的銀行帳戶甚至您的手機提供商。

因此,無論如何,為您的網站和應用程序添加兩因素身份驗證。 但請提前計劃並嘗試使該過程對用戶來說沒有痛苦。 您可以期待一個更安全的環境——只是不要期待奇蹟。