多重身份认证(MFA)方案

无密码身份认证与多因素身份认证MFA

无密码身份认证和多因素身份认证（MFA）不再是IT圈内的流行语。它们早已成为日常生活的一部分。如今，我们通过面部识别解锁手机，用身份认证器APP登录进工作业务系统，或者用手机短信中收到的PIN码（Personal Identification Number，个人密码）访问敏感文档。

而且技术不会止步于此——MFA和无密码解决方案都在以惊人的速度增长。到2026年，全球MFA市场规模预计将增长到235亿美元。到2030年，全球无密码身份认证市场规模预计将达到4567.9亿美元。

但是，即便围绕无密码身份认证和多因素身份认证（MFA）的宣传铺天盖地，人们对于每个安全协议的目的、有效性和困难挑战仍然存在混淆。本篇文章定义了这两个名词术语，解释了它们之间的核心区别，并且就如何为您公司的IT环境选择最佳认证方案提供建议。

什么是多因素身份认证（MFA）？

多因素身份认证(Multi-factor authentication，MFA)是一种数字身份认证系统，需要用户通过多个身份认证查验点。MFA类似于无密码身份认证，因为它可以利用生物特征或占有因素，但不同的是MFA仍然使用用户名和密码。

要登录配置了MFA的系统，你需要像平时一样输入你的用户名和密码。然后，系统会提示你出示或输入其他内容，比如通过身份认证器APP发送的一次性访问密码、发送到你邮箱的魔术链接、你的指纹。一旦你通过了这些小测试，你就登录进系统了。

你可以把MFA看作带有锁、视网膜扫描和密码的门。就像密码一样，锁可能很容易被撬，但复制视网膜扫描或破解接收一次性密码的设备则非常困难。拥有多层保护严重限制了犯罪分子可以造成的损害。

MFA多因素身份认证

认证方式

MFA通过在静态密码之上添加额外的身份认证因素来提升企业组织对某个用户进行认证核实的信心。例如，基于MFA的系统可能会提示用户输入密码，然后使用语音识别作为辅助身份认证因素，并使用一次性密码作为第三个身份认证因素。

MFA有多种辅助身份认证因素可供选择

1. 一次性短信验证码(OTP)

用短信作为第二个身份验证因子很是常见。用短信向用户手机发送随机的六位数字，于是理论上只有持有正确手机的人才能通过验证，对吧？很不幸，答案是否定的。已有多种方法被证明可以黑掉OTP。比如说，2018年6月中旬，黑客就是通过短信拦截而黑掉了新闻娱乐网站Reddit。虽然黑客并未获得太多个人信息(Reddit的事件响应工作很棒)，还是暴露出了短信身份验证码并不像人们通常以为的那么安全。利用蜂窝网络漏洞就能拦截短信。受害者手机上安装的恶意软件也能重定向短信到攻击者的手机。对手机运营商的社会工程攻击可以使攻击者复制出与受害者手机号相关联的新SIM卡，接收到受害者的OTP短信。实际上，美国标准与技术研究所(NIST)在2016年就不赞成使用短信身份验证了，认为该方法不再是安全的身份验证方法。但不幸的是，很多公司企业还在继续依赖短信OTP，给用户一种虚假的安全感

2. 硬件令牌

作为现役MFA方法中的老大哥，硬件身份验证令牌常以带OTP显示屏的密钥卡的形式存在，硬件本身保护着其内部唯一密钥。但硬件密钥卡的缺陷也很明显。首先，用户不得不随身携带这个额外的设备；其次，贵；再次，需要物流递送；最后，必须不时更换。某些硬件令牌需要USB连接，在需要从手机或平板进行验证的时候就很棘手了。

3. 手机令牌

手机令牌很大程度上与硬件令牌类似，但是通过手机应用实现的。手机令牌最大的优势在于用户只需要带个智能手机就行了，而智能手机现在基本属于必备品，很多人忘带钥匙都不会忘带手机。真正的问题是要审查密钥进入手机的方式，也就是“激活过程”。以二维码提供所有密钥和凭证可不是个好主意，任何能复制你二维码的人都能掌握你令牌的副本。

4. 基于推送的身份验证令牌

一种脱胎于常见手机令牌和短信验证码的验证令牌，运用安全推送技术进行身份验证，因易用性提升而受到用户欢迎。与短信不同，推送消息不含OTP，而是包含只能被用户手机上特定App打开的加密信息。因此，用户拥有上下文相关信息可供判断登录尝试是否真实，然后快速同意或拒绝验证。如果同意，用户手机上的令牌应生成一个OTP，连同该同意授权一起发回以供验证使用。不是所有MFA解决方案都这么做，也就增加了推送同意消息被摹写和伪造的风险。

5. 基于二维码的身份验证令牌

基于推送的令牌需要手机的数据连接，基于二维码的身份验证则可以离线工作，通过二维码本身来提供上下文信息。用户以手机验证App扫描屏幕上的二维码，然后输入该App根据密钥、时间和上下文信息产生的OTP。用户在此过程中体验到的快捷方便很重要，是基于推送和基于二维码的令牌得以迅速推广开来的原因所在。

多重身份认证(MFA)的更多细节

安全

毫无疑问，MFA和无密码身份认证都为企业组织带来了更高级别的安全性，但它们确实也有局限性。由于MFA系统使用用户名和密码作为主要身份认证方法，因此它们很容易受到网络钓鱼和暴力攻击。第二种或第三种身份认证方法可能会阻止网络犯罪分子更进一步，但这些认证方法必须非常严密才能防止全面攻击。

易用性

MFA虽然更耗时且对时间更敏感，但用户不必将密码提交到内存中或者文件中，这样也只会徒增风险。

MFA而只需使用一种身份认证方法这无疑让多种密码缠身的企业用户而言更为的简便

博迅能提供时下多种热门的多因素身份认证（MFA）软件及相应解决方案

Cisco Duo

今年3月，思科推出安全平台Duo无密码认证，作为其零信任平台的一部分，该产品能够使用户在密码之外，通过利用安全密钥和生物识别技术（如苹果FaceID和TouchID，以及Windows Hello），简化和加强访问受Duo单点登录（SSO）和第三方SSO及身份提供商保护的云应用认证。
思科将无密码认证与Duo单点登录相配合，使企业能够将数百个密码和认证整合为一个用户对云应用的简单登录，有效降低密码相关威胁和漏洞的风险，如网络钓鱼、被盗或弱密码、密码重用、暴力、中间人攻击和密码数据库泄露。

ESET Secure

电脑安全软件公司ESET一直从事反恶意软件和端点保护产品研发，其推出的ESET Secure Authentication是一个功能齐全的MFA解决方案：支持VPN和RADIUS；拥有基于浏览器的管理控制台；与现有LDAP目录或基于云的身份存储集成；灵活的多因素身份验证，例如推送通知或硬件令牌。ESET甚至为希望将其应用程序与服务更紧密地集成的企业提供API和SDK。

HID Approve

安全身份验证企业HID Global与RSA是大型企业和政府中较为成熟的实体之一。事实上，在多因素身份验证成为主流之前，HID Global就因其物理安全解决方案（感应卡/刷卡和读卡器）在市场上站稳了脚跟。除了硬件和智能卡解决方案外，HID还提供基于软件的可靠多因素身份验证解决方案——HID Approve，可以在不需要硬件投资的情况下快速部署。HID Approve支持推送身份验证和安全策略，该服务具有运行时应用程序自我保护（RASP）机制，可以监控身份验证尝试，并帮助企业组织防止动态攻击。

Mircosfot Entra

Azure AD

Azure AD 现在是 Microsoft Entra 产品系列的一部分借助 Microsoft Entra 迈向未来。Microsoft Entra 是新的多云身份验证和访问控制产品系列，有助于确保互联世界的访问安全。

Azure AD 是一种集成的云身份验证和访问控制解决方案，是管理目录、支持应用程序访问和保护标识领域的领先者

Azure AD 可帮助用户防御 99.9% 的网络安全攻击。

Okta Adaptive MFA

Okta Adaptive MFA以一个安全平台开始，该平台使用从先前攻击中（针对Okta服务和第三方威胁数据的攻击）收集的数据自动防止身份攻击。Okta还可以利用该威胁数据对所涉及的风险进行评分，以动态管理应对更强大身份验证因素的需求。除了基于主动分析的防御外，Okta还支持用户简化威胁报告，并向管理员发送通知或自动缓解措施。此外，Okta Adaptive MFA还提供广泛的选择和灵活性，以满足用户不同的身份验证需求。

RSA SecurID

美国信息安全公司RSA带有旋转数字键的RSA硬件令牌，是用于保护企业VPN和远程访问的原始多因素身份验证解决方案之一。该公司提供的RSA SecurID不仅支持基于移动和硬件的身份验证因素，还支持无缝身份验证路径。同时支持基于风险的动态身份验证策略，以平衡对额外安全性的需求等。

Silverfort

Silverfort可能是企业组织之前并没有听说过的名字，但它们的MFA产品也在必备清单上。Silverfort不仅提供异常行为检测、基于模式的威胁检测以及基于风险评分的升级身份验证等功能，还能够对常见管理工具（如远程PowerShell会话、远程桌面和SSH）实施多因素身份验证

Twilio Authy

Twilio Authy的主要卖点是通过由大量文档和社区支持的强大API实现的灵活性。Authy不同于其他一些“即插即用”解决方案，但如果企业组织需要一个高度灵活和可扩展的自定义业务应用程序解决方案，它可能正是企业组织需要的服务

咨询博迅获取更多多重身份认证（MFA）解决方案

联系我们