多因子认证是用两种及两种以上的条件对用户进行认证的方法。通常将口令和实物（如U盾、密码器、手机短消息、指纹等）结合起来，以有效提升安全性。常用于网上银行等应用领域中。下面给大家介绍以下常见的多因子认证的方式有哪些？

密码

密码认证指用户创建一个文本字符串来作为认证身份的手段，系统将其以某种形式存放于数据库中，当用户需要认证时，以数据库中留存的凭据来进行身份验证。密码认证实现简便，使用方便，且无需额外的硬件依赖，是多因子认证中最为常见的认证方式。

CAPTCHA

CAPTCHA指的是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称，它并非作为一种单独存在的验证方式，而是主要用来防止攻击者使用脚本和机器人等手段来破解登录认证。CAPTCHA的方式多种多样，有拼图、连线、算数、验证码、识图等。它的主要运行方式是，在web网页如登录页中嵌入

一个插件，这个插件会收集客户端的各种信息提交给CAPTCHA服务端，服务端通过AI或风控逻辑分析这些信息，最后返回一种认证方式给web网页，网页展示这个认证方式让用户操作，用户操作完后将结果提交至CAPTCHA服务端完成认证。这种认证方式提高了攻击门槛，但也并非不能破解。

邮箱验证码

邮箱验证通过给用户帐号绑定的邮箱发送验证码或验证链接来核实用户对邮箱的持有，属于验证用户持有物的方式。邮箱验证需要额外的交互成本，在国外较多用于登录验证等场景，国内则一般用于修改用户密码和登录风控二次验证的场景。

短信验证码

短信验证码是近年来使用越来越多的身份验证方式。一般通过填写短信验证码完成。因为手机属于私有设备，且通信渠道不易拦截，所以是目前比较安全的认证方式，但需要注意的是，手机号属于个人隐私信息，服务方必须提供可靠的隐私保护协议才能进行注册。在企业中，往往也会使用硬件token设备来代替手机，其实原理是一样的，都是特定用户持有的设备，输入的都是设备上存储的信息。短信验证码安全系数较密码验证高很多，但依然存在可攻击的手段且验证成本也相应有所提升。

物理令牌

常见的物理令牌包含智能卡，U盾，加密狗等，物理令牌内通常会包含一个或多个证书，密钥等信息，通过校验访问主体拥有什么来完成身份认证。物理令牌一般不单独使用，通常用于敏感场景下与另一个身份验证因子结合使用。

动态密码

TOTP（Time-Based One-Time Password）算法是基于时间的一次性密码算法，它属于HOTP（HMAC-Based One-Tme Password）算法的一个具体化的实现，根据预共享的密钥与当前时间计算一次性密码。TOTP生成设备可以是用户已完成身份认证的手机应用，也可以是单独的硬件设备。认证方与服务端通过相同的算法与密钥，在相同的时间范围内可以生成出相同的密码结果，以此完成身份认证。

指纹 / 人脸 / 虹膜

指纹/人脸等生物特征验证是近年来随着手机等智能硬件设备发展，逐渐普及的多因子认证方式，属于典型的验证访问主体是谁的认证手段。生物特征识别作为一种全新的识别技术，在物理访问控制中已经得到了广泛的应用。生物识别并非严格的验证方式，一般评估性能会涉及到灵敏度，错误拒绝率(FRR)和错误接受率(FAR)，通常情况下灵敏度设置越高，FRR越高，FAR越低，需要服务方根据适当的场景评估。