多因素身份验证 (MFA)是一种身份验证方法,它使用两种或多种不同的机制来验证用户的身份,而不仅仅是依赖简单的用户名和密码组合。MFA 有助于防止对应用程序和敏感数据的未经授权访问,帮助组织抵御身份盗用、网络攻击和数据泄露。
企业使用 MFA 来控制对内部 IT 系统和解决方案以及面向客户的应用程序的访问。在消费者领域,金融服务公司、医疗保健提供商、保险公司、云解决方案提供商和许多其他公司使用 MFA 来防止数据泄露、欺诈和滥用。MFA 有助于提高传统内部部署 IT 基础架构的安全性,还有助于加强云安全性。
基本用户名/密码验证方案容易受到攻击
仅需要用户名和密码组合的简单身份验证方法本身就容易受到攻击。精明的攻击者可以猜测或窃取凭据并使用各种技术访问敏感信息和 IT 系统,包括:
- 蛮力方法——使用程序生成随机用户名/密码组合或利用常见的弱密码,如 123456
- 凭据填充——使用从一个帐户中窃取或泄露的凭据来访问其他帐户(人们通常对多个帐户使用相同的用户名/密码组合)
- 网络钓鱼——使用虚假电子邮件或短信诱骗受害者回复其凭据
- 键盘记录——在计算机上安装恶意软件以捕获用户名/密码击键
- 中间人攻击——拦截通信流(例如通过公共 Wi-Fi)和重放凭证
多重身份验证为附加保护提供额外的安全层
MFA需要两种或多种不同形式的身份验证(也称为身份验证因素),而不仅仅是简单的用户名和密码组合,从而帮助抵御这些常见攻击。
认证因素包括
- 知识因素——用户知道的东西,例如密码或安全问题的答案
- 占有因素——用户拥有的东西,例如移动设备或接近徽章
- 内在因素——用户在生物学上独一无二的东西,例如指纹或面部特征
- 位置因素——用户的地理位置
使用 MFA,用户必须出示两种不同形式的证据——例如,他们知道的和他们拥有的东西——以确认他们的身份。因此,即使网络犯罪分子获得了用户名和密码(用户知道的信息),如果没有其他形式的证据,例如发送到用户移动设备的安全代码(用户拥有的信息),他们仍然无法访问帐户。
多因素证据的不同示例包括:
- 用户名和密码
- 以电子邮件或短信形式发送的代码
- 感应徽章、物理令牌或 USB 设备
- 软件令牌或证书
- 个人安全问题的答案
- 指纹、语音或面部识别,或视网膜扫描
自适应 MFA 可改善用户体验,使身份验证因素与风险保持一致
最新的 MFA 解决方案支持自适应身份验证方法,使用上下文信息(位置、时间、IP 地址、设备类型等)和业务规则来确定在特定情况下将哪些身份验证因素应用于特定用户。例如,从受信任的家用计算机访问在线银行站点的客户可能能够仅使用用户名和密码登录。但要从国外访问银行网站,用户可能还必须输入一个一次性的、短期的代码,该代码通过短信发送到他们的手机。