主动认证

什么是主动认证？

主动认证 是一种身份验证方法，用户必须执行明确的操作来验证自己的身份，并获得对系统、账户的访问权限或执行敏感交易。这种形式的身份验证广泛用于保护对在线平台、金融系统和关键数据的访问。

‍

不像 被动认证，在后台运行，主动身份验证要求用户直接与系统交互。虽然主动身份验证在防止未经授权的访问方面非常有效，但由于需要额外的验证工作，因此有时可能会影响用户体验。

‍

主动身份验证是如何工作的？

用户输入

系统会提示用户提供凭证或验证输入，例如：

• 密码或 PIN： 传统方法需要只有用户知道的密码。

• 生物识别： 指纹、面部识别或语音识别。

• 一次性密码 (OTP)： 临时代码发送到用户的注册电子邮件或手机号码。

验证

• 系统将提供的输入与存储的数据（例如，哈希密码、生物识别模板或令牌记录）进行比较。

• 如果输入匹配，则授予访问权限或授权交易。

多因素身份验证 (MFA)

通常，主动身份验证包含多种增强安全性的因素，结合了：

• 用户知道的东西（密码或 PIN）。

• 用户拥有的东西（OTP 或硬件令牌）。

• 用户的本质（生物识别数据）。

‍

用例

合法场景

• 网上银行： 使用OTP或生物识别扫描在登录或交易期间验证身份。

• 电子商务结账： 要求用户使用密码或付款 PIN 对购买的商品进行身份验证。

• 企业访问权限： 使用生物识别访问控制或 MFA 保护敏感数据或系统。

欺诈性用例

• 凭证填充攻击： 欺诈者使用窃取的用户名和密码来尝试未经授权的访问。

• 社会工程漏洞： 攻击者通过网络钓鱼或语音钓鱼（语音网络钓鱼）诱使用户泄露密码或 OTP。

• 生物识别欺骗： 欺诈者试图使用假指纹或合成面部模型绕过生物识别身份验证。

‍

对企业的影响

积极影响

• 更强的安全性： 主动身份验证可提供强大的保护，防止未经授权的访问，尤其是与 MFA 配对时。

• 监管合规性： 符合金融、医疗保健和电子商务等行业的安全标准（例如，PSD2 的强客户身份验证）。

• 防欺诈： 有效降低账户接管和未经授权的交易的风险。

负面影响

• 用户摩擦： 要求主动身份验证可能会破坏用户体验，从而导致潜在的下降或不满意。

• 运营成本： 实施和维护高级主动身份验证方法（例如生物识别）可能很昂贵。

• 攻击漏洞： 如果主动身份验证系统没有得到适当的保护，它们可能会被欺诈者利用（例如，对弱密码的暴力攻击）。

声誉损害

• 对不便之处的感觉： 过于严格的身份验证要求可能会使用户感到沮丧，从而影响对平台的信任。

• 安全故障： 如果主动身份验证系统遭到破坏，可能会损害该组织的声誉和客户信任。