双重身份验证：是什么、如何运作及更多信息

想象一下，你的前门有两个锁。一个是你的钥匙（你的密码），另一个是不断变化并发送到你手机上的代码（你的第二因素）。这就是双因素认证（2FA）的本质——一种为你的在线账户增加额外防护层，防止未经授权访问的安全系统。

一次性密码（OTP）和双因素认证（2FA）：它们是一样的吗？

虽然这两个术语常被交替使用，但OTP（一次性密码）和2FA之间存在细微差别：

• OTP：一次性密码是用于单次登录尝试的唯一代码。它可以通过短信、电子邮件发送，或由应用程序生成。可以把它想象成信用卡芯片上的一次性代码。
• 2FA：双因素认证是一个更广泛的系统，依赖两种因素进行身份验证：你知道的东西（密码）和你拥有的东西（手机、安全密钥）或你本身的特征（指纹、面部识别）。OTP是实现2FA的一种方法，但不是唯一的方法。

所以，Google Authenticator并不比2FA本身更好。Google Authenticator是一款应用，使用基于时间的一次性密码（TOTP）方法为2FA生成OTP代码。TOTP代码被认为比传统的短信OTP更安全，因为它们会定期（通常每30秒）更换，并且不依赖于蜂窝网络。

2FA领域中最强有力的竞争者

谈到“最强”2FA方法，这取决于具体情况。以下是我们所了解的：

认证器应用：

• TOTP（基于时间的一次性密码）：这是驱动大多数认证器应用（如Google Authenticator或Microsoft Authenticator）的核心。它结合了：
  • 密钥：应用和你登录的在线服务之间共享的唯一秘密密钥。此密钥通常在初始设置时生成。
  • 时间同步：应用和服务器都依赖相同的时间参考（通常基于协调世界时UTC）。
• 代码生成：应用使用特定算法（如HMAC-SHA1）将密钥与当前时间结合，生成每30秒左右更换一次的唯一代码。这确保即使有人截获了代码，也只能在极短时间内使用。
• 验证过程：当你在登录时输入生成的代码，服务器会使用相同的密钥和当前时间进行相同计算。如果代码匹配，则允许访问。

安全密钥：

• 公钥密码学：像YubiKey这样的安全密钥依赖公钥密码学系统。该系统涉及一对数学相关的密钥：公钥和私钥。
  • 公钥（服务器端）：该密钥公开可用，服务器用来加密挑战信息。
  • 私钥（密钥内）：该密钥安全存储在安全密钥中，绝不离开设备。用于解密挑战并生成数字签名。
• 挑战-响应机制：登录时，服务器向安全密钥发送挑战。密钥使用私钥解密挑战并创建数字签名。
• 验证：签名响应返回服务器，服务器使用公钥验证签名，确保登录尝试的合法性。

生物识别技术：

• 读取身体蓝图：指纹扫描仪和面部识别系统依赖先进传感器捕捉独特的身体特征。
• 模板创建：捕获的数据被转换成数学表示的模板，安全存储在你的设备上。
• 匹配