等保三级中“身份鉴别”要求与2FA双因子认证有何关联？

为了保护信息的安全，我国实行对信息及信息载体按照重要性等级分别进行保护，也就是信息安全等级保护制度。根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素来决定信息系统的安全保护等级。从第一级到第五级，级别越高，要求越严格。

就我国实际情况，最常见的是等保二级和等保三级，政府部门、企业主体等需要进行相关的等级保护工作。

其中，在等保二级、三级通用安全中对“身份鉴别”提出了要求，如上图第四条所列，要求政企应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。其实，这就是我们常说的“2FA双因子身份认证”或者“MFA多因素认证”。

双因子身份认证（Two-Factor Authentication，2FA）是一种基于"你知道什么"、"你拥有什么"和"你是谁"这三种因素的身份验证方法。根据等保三级的要求，至少需要使用其中两个因素进行验证，以提高身份鉴别的可靠性和安全性。

常见的2FA双因子身份认证技术包括：

• 密码和硬件令牌：用户需要提供正确的用户名和密码，并搭配使用硬件令牌生成的动态验证码来完成身份验证。
• 密码和短信验证码（短信令牌）：用户需要输入正确的用户名和密码，并收到手机短信中的一次性验证码，用于验证身份。
• 密码和手机APP验证码：类似于硬件令牌，用户在输入用户名和密码后，通过APP（如Google Authenticator、微软验证器）生成的动态验证码来完成身份验证。
• 指纹识别和密码：用户需要提供正确的指纹识别信息和密码来进行身份验证。

其中，还有许多种令牌形式结合了现有的互联网技术进行了革新。比如，嵌入进飞书、钉钉、企业微信工作台里的H5令牌、微信小程序令牌、邮件令牌、推送认证、APP扫码等，满足了不同企业个性化的需求。

2FA 双因子身份认证技术的使用增加了身份验证的复杂性，攻击者需要同时获取两个或更多因素才能成功伪造用户身份。这提高了系统的安全性，减少了密码单一因素被猜测或泄露的风险。

需要注意的是，虽然等保三级要求使用2FA双因子身份认证技术，但应根据实际情况选择合适的因素组合，并确保采用的双因素认证技术符合安全标准（如国密算法）和最佳实践，以确保身份鉴别的有效性和可靠性。