扫码阅读
手机扫码阅读

双因素认证:加强身份保护的关键

46 2024-03-26

#
产品经理必聊的100个话题



第79期:双因素认证

许多系统在具体业务处理时需要再次确认用户身份。以消费金融为例,身份确认是为了确保贷款操作的合法性。通常,用户会通过手机短信确认,这可以被视为双因素认证,因为在进入页面之前已经进行了身份认证。

此外,一些与贷款额度审批相关的操作也使用手机号作为身份识别标志。尽管这看似没有问题,但在探索其他场景时,我们开始面临一些潜在风险。



手机号易主


Business Analysis




由于干系人遗漏,造成了很多的相关功能需求遗漏,进而造成系统无法使用,系统功能使用不顺畅等各种问题。由于干系人识别遗漏造成的后果可能包括:

过去,某手机号已与账户绑定,开通了额度。然后,机主粗心易主手机号(机主退号,重新被其他人申请)。在此情况下,新的机主通过App成功申请额度。

若未进一步与身份证等信息核实,有可能将前机主的额度错误地授予后机主。在贷款发放时,要求贷款者使用本人的银行借记卡接收支付,触发身份证比对逻辑,可阻断相关贷款流程,或确保贷款发放给本人。否则,可能导致非本人操作的贷款业务发生,给业务流程带来困扰。因此,仅仅依赖手机号认证是不足以完成充分身份认证的。


双因素认证


Business Analysis




由于干系人遗漏,造成了很多的相关功能需求遗漏,进而造成系统无法使用,系统功能使用不顺畅等各种问题。由于干系人识别遗漏造成的后果可能包括:

双因素认证(2FA)是一种身份验证方法,要求用户提供两个或更多不同类型的身份验证因素,以确保操作者是合法的身份。以下是关于双因素认证的详细信息以及可用的认证因素组合:

1. 身份证号码:用户可以输入其身份证号码,这是一种常见的第一因素。

2. 手机号及短信验证码:用户提供其注册的手机号,然后会收到一条包含验证码的短信。用户需要输入正确的验证码,这是第二因素。

3. 生日信息:如果用户的生日信息正确存储在系统中,可以要求用户提供其生日作为一个认证因素。这需要确保生日信息的准确性。

4. 手机App的验证码:一些应用程序使用动态生成的一次性密码作为第二因素。用户需要打开相关的手机应用程序并输入生成的验证码。

5. 安全问题和答案:用户事先设置的安全问题和答案可以用作认证的一部分。这是一种常见的双因素认证方式,通常在用户注册时设置。

6. 曾用手机/曾用邮箱等其他个人账号信息:用户可以提供曾用的手机号或邮箱等信息,以增加身份验证的可靠性。这些信息需要事先关联到用户的账户。

7. 邮件验证码:类似于短信验证码,用户可以选择通过电子邮件收到验证码,然后输入正确的验证码。

8. 硬件验证设备:使用硬件令牌或智能卡等物理设备作为第二因素,用户需要插入或连接这些设备以完成认证。

9. 生物识别:这包括指纹识别、人脸识别和静脉识别等生物特征认证方法。用户需要提供其生物特征以完成身份验证。

采用双因素认证可以大大提高系统的安全性,因为攻击者需要同时掌握两个或更多不同类型的认证因素才能冒充合法用户。不同情况下,可以选择不同的双因素认证组合,以满足安全需求和用户体验的平衡。

原文链接: http://mp.weixin.qq.com/s?__biz=Mzk0MzM2OTQzOA==&mid=2247485023&idx=1&sn=d59e009ec8bff7f41079c364b862d2ec&chksm=c335bbeef44232f8eb2fc0ec0bf2ce606295b732609a54c2f39aad0789e57d0dd5802e66b3aa#rd