什么是多因素身份验证？

访问受保护的资源时，需要使用凭证信息对数据存储进行身份验证。它包括一个声称的身份和一个与之相关的秘密。传统的认证方式是使用简单的用户名和密码，这也是目前最常见的认证方式。遗憾的是，用户名/密码身份验证已被证明很容易受到网络钓鱼和凭证黑客的攻击。由于密码难以记忆，人们往往会选择一个简单的密码，并在各种在线和云服务中重复使用。这意味着，当某一服务上的凭据被黑客入侵后，恶意的外来者会在其他个人和专业数字服务上对其进行测试。 

多因素身份验证（MFA）要求用户在访问应用程序、数据存储或专用网络等特定资源之前，提供两种或两种以上的验证方法，旨在防范上述威胁和其他类型的威胁。

因素 "一词是指用于验证某人声称的身份的不同认证类型或方法。不同的方法有

• 你知道的东西--比如密码、记住的 PIN 码或挑战性问题。
• 你所拥有的东西--历史上是硬令牌，如今更常见的是智能手机或安全 USB 密钥。
• 你是什么--常见的生物识别技术有指纹识别、面部识别；较少见的生物识别技术有声音识别或其他识别技术。

如何确定应为受保护资源配置多少个因子？

安全性和可用性要求决定了用于确认请求者身份声明的流程。多因素身份验证允许安全团队根据请求者（个人或程序过程）的背景或情况做出响应，取消访问是最常见的情况。除了确定需要多少种身份验证类型外，IT 部门还需要在可用性要求与实施成本之间取得平衡。

单因素身份验证（SFA）

SFA 过去是，现在仍然是确保访问移动、在线和其他安全信息和设施的默认方式。由于 SFA 无处不在且成本低廉，最常见的 SFA 类型是用户名和密码。不过，为了避免各种网络钓鱼攻击带来的威胁，无密码技术的采用率也在不断提高。例如，大多数基于移动设备的应用程序允许使用指纹或面部识别来代替传统的用户名和密码。 

如今，微软和雅虎提供的在线服务都提供了无密码 SFA 选项，苹果和谷歌等其他供应商也将在明年提供同样的选项。

由于身份验证令牌用于验证身份，因此需要防止外人进入。除了强大的令牌安全性外，它们通常被配置为频繁过期，从而提高了刷新率。虽然在无密码界面下使用的短效令牌能提高安全性，但还达不到双因素身份验证的水平。

双因素验证 (2FA)

2FA 要求用户提供第二种类型（知道、拥有、是）的身份验证，从而加强了安全性。一种身份证明可能是实物令牌，如身份证，另一种是记忆的东西，如挑战/响应、安全代码或密码。第二个因素大大提高了歹徒和其他外部行为者成功突破安全防护的门槛。 

以下是常用的身份验证方法列表： 

• 一次性密码- TOTP、HOTP、YubiKey 和其他 FIDO 兼容设备
• 其他带外- 语音呼叫、移动推送
• PKI - 证书
• 生物 识别--指纹、人脸、语音识别
• 邻近性 --卡片、移动应用程序地理围栏
• 您知道什么- 密码、挑战性问题
• 社会证书

三因素身份验证（3FA） 

为双因素添加了另一个因素，使伪造声称的身份更加困难。典型的情况可能是在现有的用户名/密码加上感应卡登录的基础上增加生物识别技术。由于这种方法会增加明显的摩擦，因此应仅限于需要高度安全的情况。银行和各种政府机构可能会发现 3FA 的合理性。机场或医院的特定高控制区也是安全团队认为有必要使用 3FA 的区域。

MFA 通常用于何处？

尽管许多组织将用户验证视为事后考虑的问题，但必须注意的是，Verizon 的年度 DBIR 一直显示，凭证黑客是最主要的漏洞策略。几乎每家企业都会遭遇敏感信息丢失事件，造成有形的经济损失和潜在的客户信任损失，这只是时间问题。

这些趋势值得注意的是，多因素身份验证的实施从未像今天这样方便和经济。传统上，企业一直将多因素身份验证的实施局限于一小部分专门用户，这些用户处理的信息对企业构成较高风险。成本和可用性往往是阻碍更广泛部署强身份验证技术的限制因素。从历史上看，购买、部署（包括用户注册）和管理强身份验证方法的成本都很高。但最近，各行各业、组织本身、其客户（或病人、公民、合作伙伴等）以及他们可以访问的技术都发生了翻天覆地的变化。

实施多因素身份验证的主要业务驱动力是什么？

虽然每个组织都有自己的具体要求，但有一些高层次的业务驱动因素在这些组织中经常是共通的： 

• 大多数行业都必须遵守与客户、病人或财务信息相关的隐私法。此外，政府机构也在不断完善政策，要求使用 MFA 进行用户身份验证。
• 远程工作--专业人士比以往任何时候都更多地在办公室以外的地方工作，无论是作为 "公路战士 "还是作为远程员工。无论是作为风险管理实践的一部分，还是作为合规举措的一部分，这些合规举措涵盖了受政府身份验证授权限制的信息（客户、患者、公民、人力资源等）。
• 高级用户和他们所在的组织是在一个无处不在的互联世界中工作的，这意味着当他们的凭据被破解时，他们的雇主就会暴露出漏洞，这就迫使他们使用 MFA 来保护自己的账户。
• 几乎每个人的口袋里都有一台联网电脑（智能手机），他们通过它来开展生活：社交媒体、消费者个性化内容和电子商务。由于客户希望通过自己的设备与企业进行数字互动，因此企业往往会采取积极的移动应用战略，这就需要 MFA 来管理风险。 

哪些规定要求组织使用 MFA 才能合规？

• 联邦金融机构审查委员会（FFIEC）于 2005 年 10 月发布指导意见，要求银行重新评估其登录协议，认为单因素身份验证作为唯一的控制机制，不足以应对涉及访问或资金流动的高风险交易，并根据其服务的风险加强身份验证。除授权外，金融机构还必须通过高标准来赢得客户的信任。
• 格拉姆-里奇-比利雷法案》（GLBA）--美国金融机构必须确保其客户记录的安全性和保密性。
• 萨班斯-奥克斯利法案》（SOX）第 404 条要求上市公司的首席执行官和首席财务官证明组织内部控制的有效性。
• PCI DSS 要求 8.2 规定了身份验证要求，其中包括持卡人数据环境 (CDE) 远程访问的 MFA。 它还推荐了应使用的方法。

有哪些方法可以减少 MFA 对用户体验的干扰？

IT 部门可以利用一些技术来减少 MFA 可能给用户带来的摩擦：

• 单点登录
• 访问请求的风险评估。
• 为用户匹配最佳的身份验证类型。

单点登录（SSO）

单点登录（SSO）允许用户只需进行一次交互，就能对多个资源进行身份验证，也就是说，用户只需输入一个凭据，其下的基础架构就能在会话期间代表他对每个受保护的资源进行身份验证。最安全的 SSO 方法是，身份验证引擎为每个为 SSO 设置的资源使用一套唯一的凭证。这样做可以将安全性提高到一个很高的水平，因为

• 用户不知道资源的实际凭据，而只知道提供给身份验证网关的凭据。这就迫使用户使用身份验证网关，而不是直接访问资源。这也意味着每个资源都有一个唯一的凭证，因此如果其中一个资源的身份存储被攻破，也不会危及其他资源。这种方法允许 IT 部门在对受保护资源进行串行身份验证的同时遵守 MFA 要求。  
• 通过利用用户上下文，基于风险的 (RBA) 技术可用于仅在需要时调用 MFA。无论是遵守政府规定还是执行组织的风险管理政策，RBA 都可以用来减少向用户强加身份验证请求的情况。政策通常是访问地点、设备和时间的组合。 

低摩擦认证选项

虽然传统的 OTP/TOTPs 仍将是最常见的第二因素身份验证类型，但也可能有其他更合理的选择。带外推送移动应用程序为 OTP 提供了一种低摩擦选项，因为用户只需点击接受按钮即可。在风险较高的情况下，一些推送应用程序可以要求使用指纹验证个人身份，并对桌面上显示的信息（如号码）进行确认，以进一步验证用户同时拥有台式机和智能手机。

面部识别正迅速成为生物识别身份验证的首选。Windows Hello 的低摩擦性，以及随着时间的推移会越来越好的特性，为用户提供了便捷的体验。最大的挑战是 Windows Hello 在各种光线条件下都无法正常工作。这种在不同光线下无法识别人脸的问题可以通过额外的面部注册来解决。最近，一些移动应用程序提供了在眼睛中注册虹膜图案的功能。生物识别身份验证方法（面部、指纹、虹膜）一起使用，可以提高安全标准，让外人无从下手。对于正在寻找低摩擦方式来防范网络钓鱼攻击的企业来说，生物识别方法也是一个极佳的选择。

语音识别在金融服务领域越来越受欢迎。机构之所以喜欢它，是因为客户在与服务代表交谈时完全是被动的。客户的身份得到验证后，服务代表就会收到通知。对于经常难以记住正确答案的客户，他们使用语音识别来代替挑战性问题。在这种情况下，安全性和可用性都得到了优化。

FIDO/FIDO2 对于用户在多设备间漫游的情况来说是很有吸引力的选择。FIDO 之所以成为一种有吸引力的身份验证选择，部分原因在于其广泛的供应商支持及其对可用性的关注。FIDO 在大学中得到了显著的推广，因为大学里有大量使用各种数字服务的学生。FIDO 允许在不同的设备和平台上实现无密码身份验证的可移植性。

智能手机手势分析是一种行为分析方法，可对用户如何操作设备以及如何与设备进行物理交互进行启发式分析。输出结果是基于跟踪手势模式的置信度评级。随着时间的推移，分析结果的可信度会越来越高，从而建立起手势的保真度。虽然手势分析最初还不足以成为身份验证的主要形式，但它可以作为一种合适的方法，与其他身份验证类型结合使用。

NetIQ 与其他 MFA 解决方案有何不同？

安全团队通常会实施所采用的身份验证所附带的支持软件。这种做法似乎很有效，直到购买了不同的设备，需要不同的软件实施，才会形成另一个孤岛。在大型企业中，很有可能出现多个无密码技术孤岛，用于多因素身份验证或满足其他身份验证要求。这种情况的弱点在于，每个身份验证筒仓都有自己的一套策略。更新这些多重策略存储需要更高的管理开销，并带来策略不均衡的风险。

OpenText™ NetIQ™ 高级身份验证系统可满足最大型组织的多因素身份验证需求。它基于标准的方法提供了一种开放式架构，没有供应商锁定的风险。该框架支持各种设备和其他开箱即用的方法，也可随着新技术的上市而扩展。

无论平台（网络、移动、客户端）如何，AA 都能为最常见的平台和应用程序提供开箱即用的支持。除了作为企业范围内身份验证的中央策略引擎外，AA 还提供基于风险的引擎，以控制 MFA 的调用时间，并控制在不同风险等级下提供的身份验证类型。除了自身的内置引擎外，AA 还与NetIQ Access Manager 集成，后者提供了一套强大的单点登录选项和风险度量，可用作自适应访问管理用例的一部分。