身份认证之多因素身份认证（MFA）

我们大多数人都同意密码是不安全的身份验证形式这一观点，更糟糕的是，它完全不智能。但这引发了一个问题：如果密码不是解决安全问题的答案，那什么是？目前，答案可能是多因素身份验证（MFA）。

多因素身份验证增加了一层关键的防御

MFA 使用两个或多个因素的任意组合来验证身份并保护重要资产免受欺诈性访问。到目前为止，我们都使用了双因素身份验证（2FA）在线授权登录，方法是将密码与发送到移动设备的 SMS 代码结合起来。如果有一个因素受到影响，系统仍然是安全的。

可以使用三种因素来确认身份：

• 您所拥有的东西—比如银行卡，钥匙或 U 盘。

• 您所知道的东西—比如密码或 PIN。

• 您本身就是生物识别因素—比如指纹，语音，虹膜扫描和其他物理特征。

如何组合这些因素并使用它们来验证身份的标准取决于实现这些因素的实体。在某些行业中，MFA 甚至需要满足合规性要求。例如，第三方支付行业数据安全标准（PCI DSS）在特定情况下要求 MFA 进行身份和访问管理，远程访问来自网络外部的持卡人数据环境或受信任网络内部对数据环境进行管理员访问。

上下文是无缝化员工访问管理的关键

越来越多的组织正在为满足每个应用程序和 IT 系统的需要考虑使用 MFA，但这几乎是很复杂的。如果员工每次要访问应用程序时都必须等待短信验证码，那用户购买量将很低。一种更有效的保护企业安全的方法是尽可能减少用户负担，并根据敏感度和折衷风险对真正需要 2FA 的应用程序进行优先级排序。

即使在 MFA 得到保证的情况下，基于非侵入式风险或上下文的身份验证也可以使用户免于受挫。非侵入式身份验证因素包括设备指纹，地理位置，IP 和设备信誉以及移动网络运营商数据。某些威胁情报平台，例如 IBM X-Force Exchange，已经向第三方应用程序和解决方案提供了这些信息。

这些因素为交易的用户和设备添加了上下文，并有助于量化每个操作的风险级别。如果风险太大，则需要其他身份验证。例如，如果纽约的用户通过其桌面登录到公司网络，则可能不需要 MFA。但是如果香港用户尝试使用无法识别的设备通过未知网络访问应用，那肯定要添加身份验证措施。

此外，与欺诈检测技术和统一端点管理（UEM）工具集成的平台有助于减少对用户驱动的 MFA 的需求，并提供有关用户风险级别的有用上下文，以确定是否需要额外的身份验证层。此类平台使企业能够管理和保护员工移动时的所有连接方式，例如智能手机，笔记本电脑，可穿戴设备，甚至是物联网（IoT）设备。开放平台还使现有应用程序和基础架构的集成变得简单。

消费者的安全性与便利性之间的平衡正在发生变化

MFA 对员工来说可能很好，他们可以选择使用组织允许的任何身份验证机制。但是消费者呢？传统上，公司一直在权衡安全性和便利性，总是出于担心客户会采取额外措施来保护个人数据的考虑而始终强调后者。

但是，这种传统的看法已经不正确了，因为我们看到了越来越多的普通人群对多因素身份验证的接受度和熟悉度的提高。实际上，正如“ 2018 年 IBM 未来身份研究 ”所显示的那样，消费者对 MFA 越来越熟悉和接受，特别是在涉及金钱的应用程序和社交媒体方面。根据年龄段的不同，首选的 MFA 类型也会有所不同，年轻一代更能接受移动设备技术和生物识别方法或 token，而不是密码。

公司可能会发现最佳的解决方案是为用户提供各种身份验证方式，无论是一次性密码还是指纹读取器。基于风险的方法类似于针对员工的方法，也可用于针对消费者的访问场景。随着来自异常活动的潜在危害增加，所需的认证因素数量也将增加。

MFA 解决方案必须与外部因素保持同步

随着漏洞的出现，技术的发展以及最主要的参与者越来越多地来自千禧一代（是指出生于 20 世纪时未成年，在跨入 21 世纪以后达到成年年龄的一代人）和 Z 世代（是指在 1995-2009 年间出生的人，又称网络世代、互联网世代，统指受到互联网、即时通讯、短讯、MP3、智能手机和平板电脑等科技产物影响很大的一代人）人群，MFA 的方法正在不断变化。新的 MFA 方法必须用有趣的高科技可能性来取代繁琐的登录。明智的公司将通过利用云平台保持灵活性和适应性，云平台将以最新的方式进行更新。

此外，选择 MFA 策略可以被视为处理数据驱动的实验，负责安全的领导应该关注那些允许他们监视其身份验证方法成功率的平台。您今天实施的方法和政策不会也不应该是永久性的。持续收集数据将帮助您设计多因素身份验证策略，从而为您的员工，客户和组织提供最佳的安全性，便利性和先进性。

文章来源: https://securityintelligence.com/posts/beyond-2fa-secure-your-critical-assets-with-risk-based-multifactor-authentication/

关于我们

「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。

「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统，助力企业或政府拥抱 （Cloud Native First）云原生优先战略，帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施！从而实现 「数字化转型」 及 「软件行业工业化生产」 ！

主打产品：ArkOS 方舟操作系统：一个企业级办公自动化操作系统 ，结合自研低代码应用开发平台，构建产业生态，专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括：ArkID 统一身份认证，ArkIDE，ArkPlatform，App Store 等产品。截至目前，公司已经获得 15 个 软件著作权、2 个发明专利，并与 2020 年 11 月份，获得北京海淀区中关村国家高新技术企业认定。

相关链接：

官网：<https://www.longguikeji.com/>

文档：<https://docs.arkid.longguikeji.com/>

开源代码仓库地址：

<https://github.com/longguikeji>

<https://gitee.com/longguikeji>

历史文章

1. 登录的轮子，你还在造？
   

2. 企业级单点登录——信息化体系建设基础
   

3. 远程办公，你准备好了吗？
   

4. 企业信息化，怎样才算数？
   

5. 龙归科技 | 对未来的若干猜测
   

6. 龙归科技 | 企业办公自动化的未来
   

7. 龙归科技 | 软件的成本下降