什么是多因素身份验证（MFA）

多重身份验证（MFA）是在授予用户访问特定资源的权限之前，使用多重身份验证来验证用户身份的过程，仅使用单一因素（传统上是用户名和密码）来保护资源，使它们容易受到破坏，添加其他身份验证因素可为资源提供坚不可摧的保护，并降低网络攻击的可能性。多重身份验证（MFA）在身份和访问管理（IAM）中发挥着不可或缺的作用，可帮助组织更接近创建零信任安全框架。

一、多重身份验证如何工作

MFA 的工作原理是使用用户名和密码以外的身份验证因素来验证用户，这些身份验证因素包括：

知识因子：比如密码，某个秘密问题的答案，某个特定模式比如 Android 上锁屏解锁时的特定滑动序列。持有因子：比如银行卡， RSA SecurID, 各种银行提供的电子令牌，YubiKey，以及人手一部的手机，各种认证系统往手机发送认证码就是假定了持有手机的人是目标用户。固有因子：涉及借助遗传的生物识别手段来验证身份，例如：指纹扫描，面部扫描，视网膜扫描，语音识别。

二、为什么 MFA 很重要

仅使用密码保护资源只能保护身份的最低限度。黑客可以使用多种攻击来破坏密码，例如暴力攻击、网络钓鱼攻击、字典攻击和 Web 应用程序攻击，这就是为什么实施额外的身份验证层来保护资源非常重要的原因。

用户恰好是组织安全链中最薄弱的环节。他们可能会在不知不觉中选择弱密码、重复多个资源的密码、将密码存储在显眼的地方或长时间保留相同的密码，实施 MFA 可防止这些用户漏洞。因此，即使未经授权的人员获取了用户的密码，他们仍然无法获得对特权资源的访问权限，因为他们需要其他信息才能完成后续的 MFA 方法。

特权帐户（例如管理员或 C 级执行帐户）通常容易受到攻击。如果攻击者掌握了这些帐户中任何一个的凭据，他们将可以访问网络中最重要的数据和资源，其影响可能是不可逆转的。为了降低风险，组织必须使用额外的安全层来保护其高风险帐户。

部署 MFA 不仅有助于组织加强访问，还有助于他们遵守数据监管规范，如 PCI DSS、GDPR、NIST 800-63B、SOX 和 HIPAA。

三、2FA 和 MFA 有什么区别

双因素身份验证（2FA）是 MFA 的同义词，但是，顾名思义，2FA 总共只包含两个身份验证因素，而 MFA 对涉及的身份验证因素的数量没有任何限制。

多重身份验证（MFA）的使用更广泛，因为它使用多种身份验证方法更好地保护资源。但对于合法用户来说，每天必须使用多种身份验证方法证明其身份可能会导致 MFA 疲劳。对于简单智能的 MFA，AI 和机器学习已经与 MFA 集成，催生了自适应 MFA。

四、卓豪 ADSelfService Plus 如何支持多因素身份验证（MFA）？

卓豪 ADSelfService Plus 是一款强大的身份安全解决方案，支持多种身份验证方式，可以与手机应用程序（如：google 身份验证器、Microsoft Authenticator 等）、短信（SMS）令牌验证，自定义密保问题及答案验证，企业邮件验证、AzureAD 验证、生物指纹验证等多种 MFA 方法叠加使用。这使得组织可以选择最适合其需求的 MFA 方式进行多因素身份验证。

ADSelfService Plus 的 MFA 多因素身份认证功能支持企业多种实际应用场景的使用，如本地解锁\登录员工计算机或重要服务器时、登录访问企业 VPN 系统时、访问企业 Exchange OWA 邮箱时，登录 ADSelfService Plus 管理控制台时均可以于 ADSelfService Plus 的 MFA 进行系统集成，从而实现企业不同应用场景下的多因素身份验证。