【产品经理修炼之道】-多因素身份验证（MFA）

MFA 涉及人们生活的方方面面，验证的方式也是多种多样。本篇文章作者将从 MFA 常用的六种常用方式分析其中的优劣，提供应对措施，希望能对大家有所帮助。

一、什么是多因素身份验证 (MFA)？

MFA是一种身份验证方法，它为传统的基于密码的身份验证过程增加了一层额外的保护。MFA要求用户提供至少两个身份验证因素，以证明其身份并获得对系统或应用程序的访问权限。

二、MFA中常用的因素包括

1. 知识因素

知识因素是只有用户自己知道的信息，例如用户名、密码、短信验证码、电子邮件验证码、安全问题等。

2. 拥有因素

拥有因素是只有用户拥有的实体物体，例如安装了身份验证应用程序的移动设备等。

3. 固有因素

固有因素是用户所独有的物理特征，例如一个人的指纹、面部特征等。

4. 行为因素

行为因素是基于用户的行为模式验证其身份，例如用户通常登录的位置、IP地址、时间、设备等。

5. 认知因素

认知因素是基于用户的认知能力验证其身份，例如滑动拼合拼图、正确识别扭曲的字母或数字、音频识别等。

三、各因素优劣分析

1. 短信验证码

• 受到SIM卡交换攻击，攻击者首先获取有关用户的个人信息，例如他们的姓名、电话号码、帐户详细信息，然后联系受害者的移动网络提供商，声称丢失或损坏了他们的SIM卡，攻击者提供用户的个人信息作为身份证明，并要求将用户的电话号码转移到受攻击者控制的新SIM卡上，一旦控制了用户的电话号码，他们就可以接收短信验证码并获得对用户帐户的未授权访问。
• 受到短信钓鱼攻击，攻击者发送一条看似来自可信来