什么是多步验证 (MFA)?
- IAM 词汇表
- 什么是多步验证 (MFA)?
多步验证 (MFA) 是一种安全措施,要求用户提供多种形式的身份验证才能访问服务或应用。
多步验证定义
MFA 背后的理念是通过要求用户提供附加的身份证明,在传统用户名和密码之外提供一层额外的安全保护。这类附加的证明被称为身份验证因素。有四种不同类型的身份验证因素:
您知道的事情: 这可能是密码、PIN 码或安全问题的答案。
您拥有的东西: 这可以是物理令牌,例如智能卡或 USB 安全密钥,也可以是用户智能手机上的身份验证器应用生成的虚拟令牌。这些虚拟令牌被称为一次性密码 (OTP) 或基于时间的一次性密码 (TOTP)。
您所在的地方: 您的地理位置。某些应用和服务仅允许位于特定地理位置的用户访问。这类特定的身份验证因素经常在零信任安全环境中使用。
MFA 系统要求用户提供至少两个不同的因素,且应属于两个不同的类别。这最好通过示例来解释:
- 要求用户同时输入密码和 PIN 码的系统不符合使用 MFA 的要求,因为这两个因素都属于“您知道的事情”类别。
- 自动取款机使用 MFA 已有数十年了。他们要求用户插入 ATM 卡(他们拥有的东西)并输入密码(他们知道的事情)。
除自动取款机外,MFA 还广泛用于保护在线帐户,例如电子邮件、网上银行和云存储,以及对建筑物和其他安全区域的物理访问。
并非所有身份验证因素都一样
某些 MFA 系统是使用通过电话、短信或电子邮件发送的 TOTP 进行身份验证。虽然这些方法在技术上是“有效的”MFA 因素,但许多安全专家并不鼓励使用它们,因为它们很容易被泄露。
因此,除非没有其他方法可用,否则最佳安全做法是避免将电子邮件、电话或短信用于 MFA。强度更高的选项包括生物识别、物理安全令牌或独立的身份验证应用。
MFA 和 2FA 有什么区别?
2FA 是指两步验证。2FA 和 MFA 的唯一区别是 2FA 指仅需要两个身份验证因素的身份验证方法,而 MFA 是一个总括术语,指需要两个或更多个身份验证因素的系统。
因此,我们上面的自动取款机示例是 2FA 的例子,但将其称为 MFA 也是正确的。相反,要求用户插入卡片或安全密钥、输入 PIN 码并扫描指纹的系统则是 MFA,而不是 2FA。
MFA 提供什么保护?
密码被盗是数据泄露和勒索软件攻击的最大单一原因。MFA 使攻击者入侵帐户的难度呈指数级增长,从而防止发生密码相关的网络攻击。即使威胁行为者设法获得了有效的密码,如果没有附加的身份验证因素,也毫无用处。来自 Microsoft 的一项统计数据显示,MFA 可以阻止 99.9% 以上的帐户被盗攻击。
因此,MFA 在 IT 合规方面起着重要作用。许多行业和监管合规框架都要求组织实施 MFA 以保护其内部系统。MFA 对于实施零信任安全框架亦至关重要,该框架要求对用户进行明确验证。
实施 MFA 还有助于增强用户对系统的信任,因为它表明组织非常重视安全,并致力于保护用户的信息。
如何实施多步验证?
对于个人用户
个人应在所有支持 2FA/MFA 的网站和应用上启用它,以保护其个人帐户免受网络威胁行为者的侵扰。许多网站和应用会在用户设置帐户时引导用户完成此流程。如果没有,用户可以查阅网站或应用的帮助文档。
记住应避免使用电子邮箱、短信或电话作为身份验证因素,除非网站或应用不支持其他方法。
对于企业用户
实施 MFA 所涉及的步骤将视您组织的特定需求和资源情况而有所不同。如果不确定如何进行,建议您寻求安全专家或 IT 专业人员的帮助。但是,以下是所涉及步骤的一般概述:
确定要使用的身份验证因素的类型: 根据您的安全需求和可用资源决定要使用哪些身份验证因素。记住应从两个不同的类别中选择至少两个因素,并避免使用电话、电子邮件或短信作为身份验证因素。
选择 MFA 解决方案: 有许多商业和开源解决方案可用于实施 MFA。您可以选择支持您所选的身份验证因素且符合您的预算和技术能力的解决方案。
将 MFA 解决方案集成至您的系统: 这可能涉及将 MFA 解决方案集成至您现有的身份验证系统中,或者用支持 MFA 的解决方案替代您现有的身份验证系统。您可能需要修改应用代码或更改网络基础设施。
注册用户: 将 MFA 解决方案集成至您的系统后,请通过让用户提供 MFA 解决方案所要求的附加身份验证因素来注册用户。
监视和维护 MFA 解决方案: 定期监视 MFA 解决方案的性能和安全性,并根据需要对其进行更新以保持有效。