雙因素身份驗證 (2FA) 在使用者的日常生活中很常見。我們在電子郵件、短信、銀行應用程式和許多其他平台中看到了 2FA。我們測試的越來越多的應用程式正在實作某種形式的 2FA。
在本文中,我們将介紹什麼是 2FA,提供一些示例,然後您可以在我們平台上線執行 2FA 測試。
什麼是兩步驗證?
雙因素身份驗證 (2FA) 是多因素身份驗證 (MFA) 的一種形式,它通過需要兩種方法來驗證您的身份(也稱為身份驗證因素)來增強安全性。
2FA 的第一層通常 是使用者提供的使用者名/密碼、指紋或 面容 ID,以驗證其帳戶并進入第二步。第二層身份驗證添加在第一層之上。第二層可能是帶有确認連結的電子郵件、包含一次性密碼 (OTP) 的短信或已安裝的應用程式。
2FA 保護登入免受網絡釣魚、社會工程和密碼暴力攻擊。它還可以防止可以利用弱憑據或被盜憑據的攻擊者登入。
2FA 認證測試用例
現在我們已經對 2FA 進行了進階概述,讓我們深入了解常見 2FA 用例的細節。自動化這些必備案例是高品質應用程式、快速軟體傳遞和客戶滿意度的關鍵。
使用者注冊
當使用者注冊應用程式時,通常會要求他們輸入姓名和電子郵件位址。為了驗證電子郵件位址,應用程式會發送一封包含确認連結的電子郵件。
使用者收到連結并打開後,即可繼續注冊。
Ring 強制為所有使用者帳戶啟用兩因素身份驗證 (2FA)。
裝置認證
有時,使用者需要從新裝置通路他們的電子郵件。例如,使用者去旅行或購買新手機。當使用者嘗試在新裝置上登入時,電子郵件供應商必須在無法識别的裝置上驗證登入是否合法。
為了區分真實登入和黑客攻擊,電子郵件供應商會向注冊的手機号碼發送可疑活動警報和包含 OTP 的 SMS。使用者使用 OTP 登入應用程式。如果存在安全漏洞,安全通知會提醒使用者。
在澤衆雲測試平台上,您可以同時在移動裝置和桌面 Web 浏覽器上進行測試。您可以建立在兩者上運作的腳本,然後并行觀察結果。
Google 需要 OTP 驗證才能在新裝置上登入 Gmail。
重設密碼
我們都因忘記密碼而感到内疚—— 我們所有人。幸運的是,應用程式通常有一個簡單的密碼重置選項。但是,該應用程式必須確定單擊“重置密碼”不是黑客行為。每當使用者請求重置密碼時,OTP 都會轉到與應用關聯的電話号碼。同樣,使用者輸入 OTP 并繼續重置密碼。
密碼重置應包含在測試活動中,因為它是使用者中的熱門活動。
Slack 需要 OTP 驗證才能重置密碼。
銀行交易
銀行憑證和資訊始終是黑客夢寐以求的資訊。銀行已将 2FA 引入所有金融交易中,有時甚至在應用程式登入期間也引入了 2FA,以確定使用者的安全。
示例 1:銀行轉賬
當使用者進行銀行轉賬時,銀行需要通過短信或電話提供的 OTP 形式進行兩因素身份驗證。如果交易合法,使用者将進入OTP并繼續交易。如果交易是欺詐性的,則由于 OTP 不可用而停止傳輸。
示例 2:其他銀行業務
無論使用者是登入、更改設定還是添加新的受益人,都可能需要 2FA,具體取決于銀行的安全政策。如果使用者正确輸入 OTP,他們可以繼續使用該應用程式。已安裝的應用程式為執行的操作提供 2FA 确認。這對于確定使用者免受欺詐活動的侵害至關重要。