多因素身份验证的另一方式是使用生物特征|安全密钥是如何使用的？多因素身份验证的另一方式是

多因素身份验证的另一方式是使用生物特征，近年来，特别是在移动设备中，生物特征越来越受欢迎。生物特征认证是使用个人的独特生理特征来识别他们的过程。通过确认生物特征签名，即可验证个人身份。在移动设备中的一个常见的方法是指纹扫描来解锁手机。这是通过首先注册指纹，使用光学传感器捕捉指纹独特图案的图像来实现的。就像密码永远不应该以明文形式存储一样，用于身份验证的生物特征数据也永远不会直接存储。这对于处理生物特征数据更为重要。与密码不同，生物特征是一个人身份的固有组成部分。因此，生物特征数据被盗或泄露会带来隐私问题，生物特征在被泄露的情况下也很难改变。因此，数据不是直接存储指纹数据，而是通过哈希算法运行，并存储生成的唯一哈希。与基于知识或令牌的系统相比，生物特征认证的一个优点是，识别个人进行认证更可靠，因为生物特征通常不可共享。

文章图片
随着学校开始引入基于指纹的出勤记录系统，学生们正在寻找方法来欺骗该系统。他们用胶水之类的东西制造假指纹，让朋友们在迟到或旷课时互相标记对方在场。这比共享密码更难实现，但这是这些孩子想出的一个巧妙的办法。其他生物识别系统使用虹膜扫描、面部识别、登机门检测甚至语音等功能。微软为Windows10开发了名为WindowsHello的生物特征认证系统，该系统支持指纹识别、虹膜识别和面部识别。它使用两个摄像头，一个用于彩色，另一个用于红外，可以进行深度检测。这样，就不可能使用授权用户面部的打印输出来欺骗系统。
物理令牌的进化是U2F（UNiversalSecondFactor），这是谷歌、Yubico和恩智浦半导体联合开发的标准。 U2F的最终标准由FIDO联盟主办， U2F结合了挑战响应机制以及公钥密码，以实现更安全、更方便的第二因素身份验证解决方案。 U2F令牌被称为安全密钥，可从一系列制造商处获得。 Chrome浏览器和Opera浏览器都内置了对U2F身份验证的支持，支持原生Firefox 。

文章图片
安全密钥本质上是小型嵌入式密码处理器，具有非对称密钥的安全存储和运行嵌入式代码的额外插槽。让我们简要介绍一下安全密钥是如何工作的，以及它们对OTP解决方案的改进。第一步是注册，因为必须向站点或服务注册安全密钥。在注册时，安全密钥生成该站点独有的私有公钥对，并将公钥提交给站点进行注册。它还将站点的标识与密钥对绑定。每个站点使用唯一密钥对的原因是出于隐私考虑。如果站点受到破坏，这将防止交叉引用注册的公钥，并根据注册数据发现站点之间的共性。一旦注册到该站点，下次系统提示您进行身份验证时，系统会像往常一样提示用户输入用户名和密码。之后，系统会提示点击安全密钥。当实际点击安全密钥时，这是对用户存在的一个小检查，以确保恶意软件无法在不知情的情况下代表用户进行身份验证。点击此按钮将解锁安全密钥中存储的私钥，用于进行身份验证。

文章图片
身份验证作为一个质询-响应过程进行，以防止重放攻击。这是因为身份验证会话以后不能被窃听者再次使用，因为每个身份验证会话的质询和结果响应都不同。发生的情况是，网站生成了一个挑战，本质上是一些随机数据，并将其发送给试图进行身份验证的客户端。然后，客户端将选择与站点匹配的私钥，并使用该密钥对质询进行签名并将签名的数据发送回。该站点现在可以使用先前注册的公钥验证签名。如果签名签出，则用户已通过身份验证。从安全角度来看，这是一种比OTP更安全的设计。这是因为，考虑到过程的交互性质，身份验证流受到了网络钓鱼攻击的保护。