احراز هویت چندعاملی

احراز هویت چند فاکتوری یا چند عاملی (MFA) یک روش احراز هویت ادعایی کاربر است که در آن کاربر تنها پس از پیش‌آوردن ۲ یا چند قطعه شواهد (یا عوامل) به یک مکانیزم احراز هویت دسترسی می‌یابد: دانش (چیزی که تنها کاربر می‌داند)، مالکیت (چیزی که تنها کاربر دارند) و ذات (چیزی که تنها کاربر است).[۱][۲]

انواع احراز هویت

ویرایش

احراز هویت دو عاملی (همچنین به عنوان 2FA شناخته می‌شود) یک نوع (زیر مجموعه) از احراز هویت چند عاملی است. این یک روش تأیید هویت ادعایی کاربر با استفاده از ترکیبی از دو عامل متفاوت است که عبارت است از: ۱) چیزی که آن‌ها می‌دانند، ۲) چیزی که آن‌ها دارند و یا ۳) چیزی که آن‌ها هستند. 

احراز هویت دو عاملی یک لایه امنیتی اضافی ایجاد می‌کند و چیزی نیاز دارد که فقط صاحب حساب می‌تواند به آن دسترسی داشته باشد.[۳]

یک نمونه خوب از احراز هویت دو عاملی خروج پول از دستگاه خودپرداز است. فقط ترکیبی صحیح از یک کارت بانکی (چیزی که کاربر دارای آن است) و یک PIN (شماره شناسایی شخصی، چیزی که کاربر می‌داند) اجازه می‌دهد تا معامله انجام شود.

احراز هویت چند فاکتوری مانند احراز هویت دو فاکتوری است با این تفاوت که بیش از دو فاکتور برای احراز هویت بکار می‌روند.

احراز دو گامه (احراز دو مرحله‌ای یا تصدیق دو مرحله‌ای)روشی است برای تأیید هویت که مدعی هویت با بهرمندی از دو چیز که او می‌داند (فاکتورهای دانش مانند رمز عبور و رمز پویا) غیر از چیزی که او دارد یا چیزی که او است هویت خود را احراز می‌کند. یک مثال از یک گام دوم، تکرار چیزی است که از طریق مکانیسم خارج از باند مانند کد تائید ۶ رقمی گرفته شده با پیامک یا از اَپ (برنامه) گوشی است که برای کاربر و سیستم تأیید مشترک است. تفاوت احراز هویت دو یا چند گامه با احراز هویت دو یا چند فاکتوری (عاملی) در این است که در احراز هویت چند گامه، همهٔ بخش‌های احراز هویت چیزی هستند که کاربر دارد در حالی که در احراز هویت چند فاکتوری، بخش‌های گوناگون احراز هویت ترکیبی از چیزی که کاربر می‌داند، دارد و است می‌باشد[۴].

عوامل احراز هویت 

ویرایش

استفاده از عوامل تأیید هویت چندگانه برای اثبات هویت خود بر اساس این فرض است که یک بازیگر غیر مجاز بعید است بتواند فاکتورهای مورد نیاز برای دسترسی را فراهم کند. اگر در یک اقدام احراز هویت حداقل یکی از اجزاء غلط یا ارائه نادرست باشد، هویت کاربر با اطمینان کافی تأیید نشده و دسترسی به دارایی (به عنوان مثال، یک ساختمان یا داده) که توسط احراز هویت چند عاملی محافظت می‌شود مسدود باقی می‌ماند. عوامل تأیید هویت یک تأیید هویت چندگانه ممکن است شامل موارد زیر باشد

 
نمونه ایی از عوامل تایید هویت
  • برخی از جسم فیزیکی در اختیار کاربر، مانند یک کارت حافظه USB با رمزهای مخفی، کارت بانکی، یک کلید و
  • برخی از رازهای شناخته شده کاربر مانند گذرواژه، PIN، TAN و غیره
  • برخی از مشخصات فیزیکی کاربر (بیومتریک)، مانند یک اثر انگشت، عدسی چشم، صدا، سرعت تایپ، الگو در فواصل فشار کلید و غیره[۵]

عوامل دانش

ویرایش

عوامل دانش رایج‌ترین شکل از اعتبار سنجی هستند. در این شکل، لازم است که کاربر اطلاعات محرمانه را به منظور تأیید هویت اثبات کند.

گذرواژه یک کلمه رمز یا رشته از حروف است که برای تأیید هویت کاربر استفاده می‌شود.  بسیاری از تکنیک‌های احراز هویت چند عامل به رمز عبور به عنوان یک عامل تأیید اعتبار اعتماد دارند.[۶] این‌ها شامل هر دو نوع دیگر هستند که از چند کلمه ( یک گذرواژه ) و شماره شناسایی شخصی (PIN) کوتاه و صرفاً عددی که عموماً برای دسترسی به خودپرداز استفاده می‌شوند را شامل می‌شوند. به‌طور سنتی، از رمزهای عبور انتظار می‌رود که به خاطر سپرده شوند.

بسیاری از سوالات رمزی مانند "شما کجا متولد شدید؟" نمونه‌های ضعیفی از فاکتور دانش هستند، زیرا ممکن است به گروه گسترده ای از افراد شناخته شده باشند یا بتوانند مورد تحقیق قرار گیرند.

فاکتورهای مالکیت

ویرایش

فاکتورهای مالکیت (چیزی که تنها کاربر دارد) برای احراز هویت برای قرن ها، به شکل کلید یک قفل استفاده شده‌است. اصل اساسی این است که کلید شامل یک رمز است که بین قفل و کلید به اشتراک گذاشته شده‌است، و همین اصل تأیید اعتبار فاکتور در سیستم‌های کامپیوتری را بر عهده دارد. نشانه امنیتی نمونه ای از یک عامل مالکیت است.

نشانه های قطع شده

ویرایش
 
RSA SecurID token، نمونه ای از یک مولد نشانه ی قطع شده

نشانه‌های قطع شده هیچ ارتباطی با رایانه مشتری ندارند. آن‌ها معمولاً از یک صفحه داخلی ساخته شده برای نمایش داده‌های احراز هویت تولید شده‌استفاده می‌کنند که به صورت دستی توسط کاربر وارد می‌شوند.[۷]

نشانه های متصل

ویرایش

نشانه‌های متصل دستگاه‌هایی هستند که به صورت فیزیکی به رایانه متصل می‌شوند تا مورد استفاده قرار گیرند. این دستگاه‌ها به صورت خودکار داده‌ها را انتقال می‌دهند[۸].انواع مختلفی از جمله خوانندگان کارت، برچسب‌های بی‌سیم و نشانه‌های USB وجود دارد.

نشانه های نرم‌افزاری

ویرایش

نشانه های نرم‌افزاری (نشانه نرم‌افزاری a.k.a)یک نوع از ابزار امنیتی اعتبارسنجی دو فاکتوری است که ممکن است برای مجوز استفاده از خدمات کامپیوتری استفاده شود. نشانه‌های نرم‌افزاری بر روی یک وسیله الکترونیکی متداول مانند کامپیوتر رومیزی، لپ تاپ، PDA یا تلفن همراه ذخیره می‌شود و می‌توان آن را تکثیر کرد. (نشانگرهای سخت افزاری کنتراست، جایی که اعتبارها در یک دستگاه سخت افزاری اختصاصی ذخیره می‌شوند و بنابراین نمی‌توانند تکرار شوند (تهاجم فیزیکی دستگاه).) 

عوامل ذاتی

ویرایش

اینها عوامل مرتبط با کاربر هستند و معمولاً روش‌های بیومتریک، از جمله خوانندگان اثر انگشت، اسکنر شبکیه یا تشخیص صدا هستند.

تایید هویت دو مرحله‌ای تلفن همراه

ویرایش

احراز هویت دو مرحله ای تلفن همراه امن‌تر از حفاظت از یکباره رمزعبور است اما از نگرانی‌های امنیتی رنج می‌برد. تلفن‌ها ممکن است همانندسازی شوند، برنامه‌ها می‌توانند بر روی چندین تلفن اجرا شوند و پرسنل تعمیر و نگهداری تلفن همراه می‌توانند متون SMS را بخوانند. به‌طور کلی تلفن همراه را نمی توان به‌طور کلی به خطر انداخت، به این معنی که تلفن دیگر چیزی نیست که قفط کاربر دارد. 

اشکال اصلی احراز هویت، از جمله چیزی که کاربر دارای آن است، این است که کاربر باید در تمام زمان‌ها عملاً در همه جا به دنبال نشانه فیزیکی (USB stick، کارت بانکی، کلید یا مشابه) باشد.از دست دادن و سرقت یک خطر است.بسیاری از سازمان‌ها ممنوع‌الخروج کردن دستگاه‌های USB و الکترونیکی،و بسیاری از ماشین‌های مهم پورت USB در داخل و خارج از محل را به دلیل بدافزار و خطر سرقت اطلاعات ، در اختیار ندارند.نشانه‌های فیزیکی معمولاً نیاز به یک نشانه جدید برای هر حساب و سیستم جدید ندارند.خرید و متعاقباً جایگزینی نشانه‌ها از این نوع، هزینه‌ها را شامل می‌شود. به علاوه ، تضادهای ذاتی و توازن اجتناب‌ناپذیر بین قابلیت استفاده و امنیت وجود دارد.[۹]

احراز هویت دو مرحله‌ای تلفن همراه شامل وسایلی مانند تلفن‌های همراه و گوشی‌های هوشمند به منظور ارایه یک روش جایگزین که از چنین موضوعاتی اجتناب کند توسعه داده شد.برای تأیید اعتبار خود، افراد می توانند از کدهای دسترسی شخصی خود به دستگاه ( چیزی که تنها کاربر فردی می داند) استفاده کنند، به علاوه یک رمز عبور یکبار معتبر، پویا، معمولاً شامل 4 تا 6 رقمی است. کد عبور را می‌توان به وسیله SMS یا اعلان از طریق فشار به دستگاه تلفن همراه خود ارسال کرد یا می‌توان آن را با استفاده از نرم‌افزار Generator یک بار گذرواژه تولید کرد. در هر سه مورد، فایده استفاده از یک تلفن همراه این است که نیازی به یک نشانه اختصاصی اضافی ندارد، چرا که کاربرها معمولاً دستگاه‌های تلفن همراه خود را در تمام زمان‌ها حمل می‌کنند.

تا سال 2018، SMS برای حساب‌های مبتنی بر مصرف، وسیع‌ترین روش احراز هویت چند منظوره بوده‌است.[۱۰] با وجود محبوبیت تأیید اس ام اس، NIST ایالات متحده آن را به عنوان یک نوع احراز هویت محکوم کرده و طرفداران امنیتی آن را به صورت عمومی مورد انتقاد قرار داده‌اند.[۱۱]

 در سال‌های 2016 و 2017، هر دو شرکت گوگل و اپل، تایید هویت دو مرحله‌ای کاربر را با اعلان فشار به عنوان روش جایگزین شروع کردند.[۱۲][۱۳]

 امنیت نشانه‌های امنیتی  تلفن همراه به‌طور کامل به امنیت عملیاتی اپراتور تلفن همراه بستگی دارد و می‌تواند به راحتی توسط سرویس‌های تلفنی یا شبیه سازی سیم کارت توسط سازمان‌های امنیت ملی تخریب شود.[۱۴]

مزایا

ویرایش
  • نشانه دیگری لازم نیست چون از دستگاه‌های همراه استفاده می‌کند که معمولاً در تمام مدت حمل می‌شوند.
  • همانطور که آن‌ها به‌طور مداوم تغییر می‌کنند،کدهای پویای تولید شده برای استفاده از log‌های ثابت امن‌تر هستند. 
  • بسته به نوع راه حل، کدهای عبور استفاده شده به صورت خودکار جایگزین می‌شوند تا اطمینان حاصل شود که کد معتبر همیشه در دسترس است. مشکلات انتقال / پذیرش از ورود به سیستم جلوگیری نمی‌کند.

معایب

ویرایش

 کاربر زمانی که احراز هویت لازم باشد باید یک تلفن همراه شارژ شده که در محدوده یک شبکه تلفن همراه است را حمل کنند،اگر گوشی نمی‌تواند پیام‌ها را نمایش دهد، از قبیل آسیب دیدن یا تعطیلی برای به روز رسانی یا به دلیل افراط در دمای هوا ( به عنوان مثال در فصل زمستان )، دسترسی اغلب بدون برنامه‌های پشتیبان غیرممکن خواهد شد.


  • کاربر باید شماره تلفن همراه شخصی خود را با ارائه دهنده به اشتراک بگذارد، حریم خصوصی شخصی را کاهش داده و به‌طور بالقوه هرزنامه را اجازه می‌دهد.
  • حامل‌های تلفن همراه ممکن است از کاربر برای دریافت کارمزد پیام رسانی استفاده کنند.[۱۵]
  • پیغام‌های متنی به تلفن‌های همراه با استفاده از SMS ناامن هستند و می‌توانند متوقف شوند. بنابراین اشخاص ثالث می‌توانند این نشانه را بدزدند و از آن‌ها استفاده کنند.[۱۶]
  • پیام‌های متنی ممکن است فوراً تحویل داده نشوند و تاخیرهای اضافی در فرایند تأیید هویت اضافه شوند.
  • بازیابی حساب معمولاً از احراز هویت دو عامل تلفن همراه جلوگیری می‌کند.[۱۷]
  • گوشی‌های هوشمند مدرن هم برای مرور ایمیل و هم برای دریافت SMS به کار می‌روند. ایمیل معمولاً همیشه وارد سیستم می‌شود. بنابراین اگر گوشی گم شود یا به سرقت برود، تمام حسابهایی که ایمیل آن کلیدی است، می‌تواند هک شود زیرا گوشی می‌تواند عامل دوم را دریافت کند. بنابراین تلفن‌های هوشمند دو عامل را به یک عامل ترکیب می‌کنند.
  • تلفن‌های همراه به سرقت رفته، به‌طور بالقوه به دزد اجازه دسترسی به حساب‌های کاربری را می‌دهد.
  • شبیه سازی سیم کارت دسترسی هکرها به ارتباطات تلفن همراه را فراهم می‌کند. حملات مهندسی اجتماعی علیه شرکت‌های اپراتور تلفن همراه، منجر به تحویل دادن سیم کارت‌های تکراری به جنایتکاران شده‌است.[۱۸]

پیشرفت در احراز هویت دو عامل تلفن همراه

ویرایش

پیشرفت در پژوهش در احراز هویت دو عاملی برای تلفن‌های همراه روش‌های مختلفی را در نظر می‌گیرد که در آن یک عامل دوم می‌تواند در حالی اجرا شود که مانع برای کاربر نشود. با استفاده مداوم و بهبود در دقت سخت افزار تلفن همراه مانند GPS،[۱۹] میکروفون[۲۰] و ژیروسکوپ / شتاب سنج،[۲۱] توانایی استفاده از آن‌ها به عنوان عامل دوم احراز هویت، قابل اعتمادتر شده‌است.ه عنوان مثال، با ثبت صدای محیط از یک دستگاه تلفن همراه و مقایسه آن با ثبت صدای محیط از کامپیوتر در همان اتاقی که کاربر سعی در تأیید هویت دارد، ، فرد قادر است فاکتور دوم مؤثر احراز هویت داشته باشد.[۲۲] این کار همچنین مقدار زمان و تلاش مورد نیاز برای تکمیل فرایند را کاهش می‌دهد.

 
نحوه عملکرد کار یک ژیروسکوپ

قوانین و مقررات

ویرایش

صنعت کارت پرداخت ( PCI ) استاندارد امنیت داده، الزامات 8.3، نیاز به استفاده از MFA برای تمام دسترسی به شبکه که خارج از شبکه از محیط داده کارت ( CDE ) سرچشمه می‌گیرد نیاز دارد.[۲۳] با استفاده از PCI-DSS نسخه 3.2، استفاده از MFA برای تمام دسترسی اداری به CDE، حتی اگر کاربر در یک شبکه اعتماد باشد نیز مورد نیاز است.[۲۴]

ایالات متحده

ویرایش

جزئیات برای تأیید هویت در ایالات متحده با دستورالعمل 12 رئیس‌جمهور امنیت ملی (HSPD-12) تعریف شده‌است.[۲۵]

روش‌های  تایید اعتبار موجود شامل سه نوع " عوامل " اصلی است. روش‌های تأیید هویت که به بیش از یک عامل وابسته هستند در مقایسه با روش‌های تک عاملی دشوارتر هستند.[۲۶]

استانداردهای قانونی IT برای دسترسی به سیستم‌های دولتی فدرال نیاز به استفاده از احراز هویت چند عامل برای دسترسی به منابع حساس IT دارد، برای مثال هنگام ورود به دستگاه‌های شبکه برای انجام وظایف اداری[۲۷] و دسترسی به هر کامپیوتر با استفاده از ورود مجاز.[۲۸]

انتشارات ویژه NIST 800-63-3 انواع مختلفی از احراز هویت دو عامل را مورد بحث قرار می‌دهد و راهنمایی در مورد استفاده از آن‌ها در فرایندهای کسب و کار که نیاز به سطوح مختلف اطمینان دارند، ارائه می‌دهد.[۲۹]

در سال 2005، شورای بررسی آزمون‌های موسسه مالی فدرال ایالات متحده، راهنمایی‌هایی برای موسسات مالی ارائه داد که موسسات مالی ارزیابی‌های مبتنی بر ریسک را انجام می دهند، برنامه‌های آگاهی مشتری را ارزیابی می‌کنند و اقدامات امنیتی را برای تأیید صحت اعتبار مشتریان از راه دور برای دسترسی به خدمات مالی آنلاین، رسماً توصیه می‌کنند. روش‌های تأیید اعتبار که به بیش از یک عامل بستگی دارند (به‌طور خاص، آنچه کاربر می داند، دارد، و است) برای تعیین هویت کاربر. در پاسخ به این انتشار، بسیاری از فروشندگان احراز هویت به‌طور نامناسبی از چالش سوء استفاده، تصاویر مخفی و سایر روش‌های مبتنی بر دانش به عنوان احراز هویت چند عامل استفاده کردند.[۳۰] با توجه به سردرگمی و پذیرش وسیع این روش ها، در 15 اوت 2006، FFIEC دستورالعمل‌های تکمیلی را منتشر کرد که بیان می‌کند که با تعریف یک سیستم تأیید هویت چندگانه "حقیقی" باید از موارد مشخص سه عامل تأیید هویت که تعریف کرده، استفاده کند، و تنها از چندین نمونه از یک عامل منفرد استفاده نکند.[۳۱]

امنیت

ویرایش

به گفته موافقان، تأیید اعتبار چند عاملی می‌تواند شیوع دزدی هویت اینترنتی و سایر تقلب آنلاین را کاهش دهد، چرا که گذرواژه قربانی دیگر کافی نخواهد بود تا به اطلاعات خود دسترسی دائمی داشته باشد.[۳۲] با این حال، بسیاری از رویکردهای احراز هویت چند عاملی در برابرفیشینگ [۳۳]، مرورگر، و حملات میانی آسیب‌پذیر هستند.[۳۴]

احراز هویت چند عامل ممکن است در برابر تهدیدات مدرن، نظیر ATM، فیشینگ و نرم‌افزارهای مخرب، ناکارآمد باشد.[۳۵]

در ماه مه سال 2017 O2 Telefónica، یک ارائه دهنده خدمات تلفن همراه آلمانی، تأیید کرد که مجرمان سایبری از آسیب پذیریSS7 به منظور دور زدن احراز هویت دو مرحله ای پیامک برای برداشت غیر مجاز از حساب‌های بانکی کاربران استفاده کرده‌اند.مجرمان ابتدا کامپیوترهای دارنده حساب را به منظور سرقت حسابهای بانکی و شماره تلفن خود آلوده کردند.سپس مهاجمان دسترسی به یک ارایه‌دهنده خدمات تقلبی را خریداری کرده و مسیری را برای شماره تلفن قربانی به یک گوشی کنترل شده توسط آن‌ها راه اندازی کردند.در نهایت، مهاجمان به حساب‌های بانکی آنلاین قربانیان وارد شدند و درخواست پول در حساب‌ها به حساب‌های متعلق به مجرمان را کردند.SMS به شماره‌های تلفن که توسط مهاجمان کنترل می شد وصل شده بود و مجرمان پول را به خارج منتقل می‌کردند.[۳۶]

اجرای ملاحظات

ویرایش

بسیاری از محصولات احراز هویت چند عامل نیاز به استفاده از نرم‌افزارهای مشتری برای ایجاد سیستم‌های تأیید هویت چند عامل دارند. برخی از فروشندگان بسته‌های نصب جداگانه برای ورود بهشبکه، گواهینامه دسترسی به وب و گواهینامه اتصال ، VPN ایجاد کرده‌اند. برای چنین محصولاتی ممکن است چهار یا پنج بسته نرم‌افزاری متفاوت برای خاموش کردن کامپیوتر شخصی به منظور استفاده ازکارت شناسایی یاکارت هوشمند وجود داشته باشد. این به چهار یا پنج بسته که در آن کنترل نسخه باید انجام شود، و چهار یا پنج بسته برای بررسی درگیری با برنامه‌های کاربردی کسب و کار ترجمه می‌شود. اگر دسترسی را با استفاده از صفحات وب مدیریت کنید، می توانید هزینه‌های فوق را به یک برنامه محدود کنید. با سایر راه حل‌های احراز هویت چند عامل، مانند نشانه‌های مجازی و برخی محصولات سخت افزاری، هیچ نرم‌افزاری نباید توسط کاربران نهایی نصب شود.

 
اجزای تشکیل دهنده کارت هوشمند

اشکالاتی برای تأیید اعتبار چند عاملی وجود دارد که بسیاری از رویکردها را از گسترده شدن منع می‌کند.بعضی از مصرف کنندگان دچار مشکلی در ردیابی سخت افزار یا پلاگین USB می‌شوند. بسیاری از مصرف کنندگان مهارت‌های فنی لازم برای نصب یک گواهینامه نرم‌افزار جانبی مشتری را ندارند.به‌طور کلی، راه‌حل‌های چند عاملی نیازمند سرمایه‌گذاری بیشتر برای اجرا و هزینه‌های نگهداری هستند. اکثر سیستم‌های مبتنی بر نشانه، اختصاصی هستند و برخی فروشندگان برای هر کاربر هزینه سالیانه دریافت می‌کنند. استقرار نشانه سخت‌افزاری به لحاظ منطقی چالش برانگیز است. ممکن است نوع سخت‌افزار آسیب‌دیده یا از دست رفته و صدورنشانه‌ها در صنایع بزرگ مانند بانک‌ها یا حتی در شرکت‌های بزرگ لازم باشد. علاوه بر هزینه‌های استقرار، تأیید اعتبار چند عاملی اغلب هزینه‌های پشتیبانی اضافی را همراه دارد. نظرسنجی سال ۲۰۰۸ [۳۷] از بیش از ۱۲۰ اتحادیه اعتباری آمریکا توسط ژورنال اتحادیه اعتبار ، هزینه‌های پشتیبانی مربوط به تأیید اعتبار دو عاملی را گزارش داد. در گزارش خود، اسناد نرم‌افزاری و ابزار نوار ابزار برای داشتن بالاترین هزینه‌های پشتیبانی گزارش شده‌است.

نمونه

ویرایش

چندین سرویس وب محبوب ، اعتبار سنجی چند عاملی را به کار می‌گیرند، معمولاً به عنوان یک ویژگی اختیاری که به‌طور پیش‌فرض غیرفعال شده‌است.[۳۸] 

  • احراز هویت دو عامل
  • بسیاری از خدمات اینترنتی ( در میان آن‌ها: گوگل، آمازون AWS ) از الگوریتم رمز عبور زمان باز مبتنی بر زمان ( TOTP ) برای پشتیبانی از اعتبارسنجی دو مرحله‌ای استفاده می‌کند.

جستارهای وابسته

ویرایش

منابع

ویرایش
  1. "Two-factor authentication: What you need to know (FAQ) – CNET". CNET. Retrieved 2015-10-31.
  2. "How to extract data from an iCloud account with two-factor authentication activated". iphonebackupextractor.com. Retrieved 2016-06-08.
  3. پایگاه اطلاع‌رسانی گرداب، Gerdab IR | (۱۸ اردیبهشت ۱۴۰۲). «پرونده / انواع سرقت هویت در فضای مجازی را بشناسید». fa. دریافت‌شده در ۲۰۲۳-۰۷-۰۲.[پیوند مرده]
  4. "The Difference Between Two-Factor and Two-Step Authentication". lifehacker.com. Retrieved 2018-01-16.
  5. Watts, Steve (2015-07). "NFC and 2FA: the death of the password?". Network Security. 2015 (7): 19–20. doi:10.1016/s1353-4858(15)30061-1. ISSN 1353-4858. {{cite journal}}: Check date values in: |date= (help)
  6. "Securenvoy – what is 2 factor authentication?". Archived from the original on 18 June 2018. Retrieved April 3, 2015.
  7. Borde, Duncan de (2007-07). "Selecting a two-factor authentication system". Network Security. 2007 (7): 17–20. doi:10.1016/s1353-4858(07)70066-1. ISSN 1353-4858. {{cite journal}}: Check date values in: |date= (help)
  8. van Tilborg, Henk C.A.; Jajodia, Sushil, eds. (2011). Encyclopedia of Cryptography and Security, Volume 1. Springer Science & Business Media. p. 1305. ISBN 9781441959058.
  9. Wang, Ding; He, Debiao; Wang, Ping; Chu, Chao-Hsien (2015-07-01). "Anonymous Two-Factor Authentication in Distributed Systems: Certain Goals Are Beyond Attainment". IEEE Transactions on Dependable and Secure Computing. 12 (4): 428–442. doi:10.1109/tdsc.2014.2355850. ISSN 1545-5971.
  10. Fujii, Haruhiko; Tsuruoka, Yukio (2014-03-01). "Two-Factor User Authentication with SMS and Voiceprint Challenge Response". International Journal for Information Security Research. 4 (1): 383–390. doi:10.20533/ijisr.2042.4639.2014.0044. ISSN 2042-4639.
  11. Kemshall, Andy (2011-04). "Why mobile two-factor authentication makes sense". Network Security. 2011 (4): 9–12. doi:10.1016/s1353-4858(11)70038-1. ISSN 1353-4858. {{cite journal}}: Check date values in: |date= (help)
  12. Keclik, M.; Lojda, Zd.; Bures, Zd.; Malis, Fr. (2009-04-24). "Alkaline Phosphatase in Serum and Liver in Patients with Cholelithiasis". Acta Medica Scandinavica. 167 (3): 159–170. doi:10.1111/j.0954-6820.1960.tb03532.x. ISSN 0001-6101.
  13. Windham, Lane (2018-01-18). "9to5". University of North Carolina Press. doi:10.5149/northcarolina/9781469632070.003.0008.
  14. "The camphor flame: popular Hinduism and society in India". Choice Reviews Online. 30 (04): 30–2016-30-2016. 1992-12-01. doi:10.5860/choice.30-2016. ISSN 0009-4978.
  15. "Standard Vs. Premium Text Message Charges". Retrieved 2017-07-12.
  16. SSMS – A Secure SMS Messaging Protocol for the M-Payment Systems, Proceedings of the 13th IEEE Symposium on Computers and Communications (ISCC'08), pp. 700–705, July 2008 آرخیو:1002.3171
  17. Rosenblatt, Seth; Cipriani, Jason (June 15, 2015). "Two-factor authentication: What you need to know (FAQ)". CNET. Retrieved 2016-03-17.
  18. Pearce, Lynne (2017-02-27). "Preventing falls in hospital". Nursing Management. 23 (10): 11–11. doi:10.7748/nm.23.10.11.s11. ISSN 1354-5760.
  19. "Location Authentication - Inside GNSS". www.insidegnss.com. Archived from the original on 18 April 2018. Retrieved 7 June 2018.
  20. "Continuous voice authentication for a mobile device".
  21. "DARPA presents: Continuous Mobile Authentication - Behaviosec". 22 October 2013. Archived from the original on 12 June 2018. Retrieved 7 June 2018.
  22. "Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound | USENIX". www.usenix.org. Retrieved 2016-02-24.
  23. "Official PCI Security Standards Council Site – Verify PCI Compliance, Download Data Security and Credit Card Security Standards". www.pcisecuritystandards.org. Retrieved 2016-07-25.
  24. &NA; (2010-03). "Neurology on the ʼNet". Neurology Now. 6 (2): 10. doi:10.1097/01.nnn.0000370186.07300.d9. ISSN 1553-3271. {{cite journal}}: Check date values in: |date= (help)نگهداری CS1: نقطه‌گذاری اضافه (link) نگهداری یادکرد:نام‌های متعدد:فهرست نویسندگان (link)
  25. US Security Directive as issued on August 12, 2007 بایگانی‌شده در سپتامبر ۱۶, ۲۰۱۲ توسط Wayback Machine
  26. "Frequently Asked Questions on FFIEC Guidance on Authentication in an Internet Banking Environment", August 15, 2006 [پیوند مرده]
  27. "SANS Institute, Critical Control 10: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches".
  28. Pickard، Todd (۲۰۱۶). The Administrative Process: Credentialing, Privileges, and Maintenance of Certification. Cham: Springer International Publishing. صص. ۲۵–۳۰. شابک ۹۷۸۳۳۱۹۲۵۲۸۴۱.
  29. "NIST releases draft digital identity guidelines". Biometric Technology Today. 2017 (3): 1. 2017-03. doi:10.1016/s0969-4765(17)30040-1. ISSN 0969-4765. {{cite journal}}: Check date values in: |date= (help)
  30. "FFIEC Press Release". 2005-10-12. Retrieved 2011-05-13.
  31. FFIEC (2006-08-15). "Frequently Asked Questions on FFIEC Guidance on Authentication in an Internet Banking Environment" (PDF). Retrieved 2012-01-14.
  32. "A huge step forward". Clinical Pharmacist. 2014. doi:10.1211/cp.2014.11134798. ISSN 2053-6178.
  33. Renaud, Karen; Renaud, Gareth (2017-10). "To phish, or not to phish…". Network Security. 2017 (10): 20. doi:10.1016/s1353-4858(17)30105-8. ISSN 1353-4858. {{cite journal}}: Check date values in: |date= (help)
  34. Schneier, Bruce (2005-04-01). "Two-factor authentication". Communications of the ACM. 48 (4): 136. doi:10.1145/1053291.1053327. ISSN 0001-0782.
  35. Schneier، Bruce (۲۰۱۵-۱۰-۰۹). Identification and Authentication. Indianapolis, Indiana: Wiley Publishing, Inc. صص. ۱۳۵–۱۵۰. شابک ۹۷۸۱۱۱۹۱۸۳۶۳۱.
  36. How Hackers Hack. Indianapolis, Indiana: John Wiley & Sons, Inc. ۲۰۱۷-۰۴-۲۰. صص. ۹–۲۱. شابک ۹۷۸۱۱۱۹۳۹۶۲۶۰.
  37. "Study Sheds New Light On Costs, Affects Of Multi-Factor".
  38. GORDON, WHITSON (3 September 2012). "Two-Factor Authentication: The Big List Of Everywhere You Should Enable It Right Now". LifeHacker. Australia. Archived from the original on 17 January 2018. Retrieved 1 November 2012.