如何测试两因素身份验证:用例指南

作者:两因素身份验证测试用例   发布时间:2021-09-29

双因素身份验证 (2FA) 在用户的日常生活中很常见。我们在电子邮件、短信、银行应用程序和许多其他平台中看到了 2FA。我们测试的越来越多的应用程序正在实现某种形式的 2FA。

在本文中,我们将介绍什么是 2FA,提供一些示例,然后您可以在我们平台上线执行 2FA 测试。

什么是两步验证?

双因素身份验证 (2FA) 是多因素身份验证 (MFA) 的一种形式,它通过需要两种方法来验证您的身份(也称为身份验证因素)来增强安全性。

2FA 的第一层通常 是用户提供的用户名/密码、指纹或 面容 ID,以验证其帐户并进入第二步。第二层身份验证添加在第一层之上。第二层可能是带有确认链接的电子邮件、包含一次性密码 (OTP) 的短信或已安装的应用程序。

2FA 保护登录免受网络钓鱼、社会工程和密码暴力攻击。它还可以防止可以利用弱凭据或被盗凭据的攻击者登录。 

2FA 认证测试用例 

现在我们已经对 2FA 进行了高级概述,让我们深入了解常见 2FA 用例的细节。自动化这些必备案例是高质量应用程序、快速软件交付和客户满意度的关键。 

用户注册 

当用户注册应用程序时,通常会要求他们输入姓名和电子邮件地址。为了验证电子邮件地址,应用程序会发送一封包含确认链接的电子邮件。  

用户收到链接并打开后,即可继续注册。 

使用双因素身份验证响铃电子邮件
Ring 强制为所有用户帐户启用两因素身份验证 (2FA)。

设备认证 

有时,用户需要从新设备访问他们的电子邮件。例如,用户去旅行或购买新手机。当用户尝试在新设备上登录时,电子邮件供应商必须在无法识别的设备上验证登录是否合法。  

为了区分真实登录和黑客攻击,电子邮件供应商会向注册的手机号码发送可疑活动警报和包含 OTP 的 SMS。用户使用 OTP 登录应用程序。如果存在安全漏洞,安全通知会提醒用户。  

在泽众云测试平台上,您可以同时在移动设备和桌面 Web 浏览器上进行测试。您可以创建在两者上运行的脚本,然后并行观察结果。   

Gmail 需要 OTP 验证才能在新设备上登录 Gmail。
Google 需要 OTP 验证才能在新设备上登录 Gmail。

重设密码 

我们都因忘记密码而感到内疚—— 我们所有人。幸运的是,应用程序通常有一个简单的密码重置选项。但是,该应用程序必须确保单击“重置密码”不是黑客行为。每当用户请求重置密码时,OTP 都会转到与应用关联的电话号码。同样,用户输入 OTP 并继续重置密码。 

密码重置应包含在测试活动中,因为它是用户中的热门活动。 

具有两因素身份验证的 Slack 密码重置页面
Slack 需要 OTP 验证才能重置密码。

银行交易 

银行凭证和信息始终是黑客梦寐以求的信息。银行已将 2FA 引入所有金融交易中,有时甚至在应用程序登录期间也引入了 2FA,以确保用户的安全。  

示例 1:银行转账 

当用户进行银行转账时,银行需要通过短信或电话提供的 OTP 形式进行两因素身份验证。如果交易合法,用户将进入OTP并继续交易。如果交易是欺诈性的,则由于 OTP 不可用而停止传输。  

示例 2:其他银行业务

无论用户是登录、更改设置还是添加新的受益人,都可能需要 2FA,具体取决于银行的安全策略。如果用户正确输入 OTP,他们可以继续使用该应用程序。已安装的应用程序为执行的操作提供 2FA 确认。这对于确保用户免受欺诈活动的侵害至关重要。 


本文内容不用于商业目的,如涉及知识产权问题,请权利人联系SPASVO小编(021-60725088-8054),我们将立即处理,马上删除。



沪ICP备07036474号-4 |

沪公网安备 31010702003220号

2015-2021 版权所有 上海泽众软件科技有限公司 Shanghai ZeZhong Software Co.,Ltd.