什麼是多重身份驗證？

訪問受保護的資源時，使用憑據資訊對數據存儲進行身份驗證。它由一個聲稱的身份和與之相關的秘密組成。傳統上，這僅使用簡單的使用者名和密碼即可完成，並且是當今最常見的身份驗證方法。不幸的是，使用者名/密碼身份驗證已被證明非常容易受到網路釣魚和憑據駭客攻擊。由於密碼可能很難記住，人們傾向於選擇一個簡單的密碼，並在他們的各種在線和雲服務中重複使用它。這意味著，當一個憑據在一項服務上被駭客入侵時，惡意的外部人員會在其他個人和專業數位服務中對其進行測試。 

多重身份驗證 （MFA） 旨在通過要求使用者提供兩種或多種驗證方法，然後才能存取特定資源（如應用程式、資料存儲或專用網路）來防止這些威脅和其他類型的威脅。

術語“因素”描述了用於驗證某人聲稱的身份的不同身份驗證類型或方法。不同的方法是：

• 您知道的內容 - 例如密碼、記住的 PIN 碼或挑戰問題。
• 你擁有的東西——雖然從歷史上看它是一個硬令牌，但今天更常見的是智能手機或安全的USB金鑰。
• 你是什麼——常見的生物識別技術是指紋、面部識別;不太常見的是生物識別技術，如語音或其他識別技術。

如何確定應為受保護資源配置多少個因素？

安全性和可用性要求決定了用於確認請求者身份聲明的過程。多因素身份驗證允許安全團隊回應請求者（人員或程式設計進程）的上下文或情況，刪除訪問許可權是最常見的方案。除了確定需要多少種類型的身份驗證之外，IT 還需要平衡可用性要求的成本和實施這些要求的成本。

單因素身份驗證 （SFA）

SFA 過去和現在仍然是保護對移動、在線和其他安全資訊和設施的訪問的預設方法。因為它無處不在且價格低廉，所以最常見的 SFA 類型是使用者名和密碼。儘管如此，無密碼技術的採用速度越來越快，以避免各種網路釣魚攻擊帶來的威脅。例如，大多數基於移動的應用程式都允許使用指紋或面部識別來代替傳統的使用者名和密碼。 

如今，Microsoft和雅虎提供的在線服務提供了無密碼的SFA選項，蘋果和谷歌等其他供應商也將在明年提供相同的選項。

由於身份驗證令牌用於驗證身份，因此需要保護身份驗證令牌免受外界攻擊。除了強大的令牌安全性外，它們通常被配置為相當頻繁地過期，從而提高了它們的刷新率。雖然在無密碼介面下實現使用短期令牌可以提高安全性，但它不符合雙因素身份驗證提供的級別。

雙因素身份驗證 （2FA）

2FA 通過要求使用者提供第二種類型（知道、擁有、是）進行身份驗證來增強安全性。一種身份證明可能是物理令牌，例如身份證，另一種是記憶的東西，例如質詢/回應、安全代碼或密碼。第二個因素大大提高了瀆職者和其他外部行為者成功突破安全漏洞的門檻。 

以下是常用身份驗證方法的常見清單： 

• 一次性密碼 – TOTP、HOTP、YubiKey 和其他符合 FIDO 標準的設備
• 其他帶外 – 語音通話、移動推送
• PKI – 證書
• 生物識別技術 – 指紋、面部、語音識別
• 鄰近 – 卡片、移動應用程式地理圍欄
• 您所知道的 – 密碼、挑戰問題
• 社會憑證

三因素身份驗證 （3FA） 

在雙因素的基礎上增加了另一個因素，使偽造一個聲稱的身份更加困難。典型的情況可能是將生物識別技術添加到現有使用者名/密碼以及感應卡登錄名。由於它增加了顯著的摩擦級別，因此應將其保留用於需要高級別安全性的情況。銀行可能會發現 3FA 有意義的情況，各種政府機構也是如此。機場或醫院部分區域內的特定高控制區域也是安全團隊認為有必要進行 3FA 的區域。

MFA 通常用於何處？

儘管許多組織將使用者驗證視為事後的想法，但重要的是要注意，Verizon的年度DBIR始終將憑據駭客攻擊視為首要的違規策略。幾乎每個組織都會遭受敏感信息丟失的事件，從而導致有形的財務損失和潛在的客戶信任損失，這隻是時間問題。

這些趨勢之所以引人注目，是因為多因素身份驗證從未像今天這樣方便且經濟實惠。傳統上，組織一直將其 MFA 實現限制為一小部分專業使用者，這些使用者處理的資訊會給業務帶來更高級別的風險。成本和可用性通常是阻礙更廣泛部署強身份驗證技術的限制因素。從歷史上看，強身份驗證方法的購買、部署（包括註冊使用者）和管理成本很高。但最近，各行各業、組織本身、客戶（或患者、公民、合作夥伴等）以及他們可以訪問的技術都發生了一系列翻天覆地的變化。

實施多重身份驗證的主要業務驅動因素是什麼？

雖然每個組織都有自己的具體要求，但有一些高級業務驅動因素在它們之間經常是通用的： 

• 大多數行業必須遵守有關客戶、患者或財務資訊的某種類型的隱私法。此外，政府機構繼續加強其政策，要求 MFA 進行使用者身份驗證。
• 遠端工作 – 專業人士比以往任何時候都更多地在辦公室外工作，無論是作為公路戰士還是作為遠端員工。無論是其風險管理實踐的一部分，還是作為涵蓋受政府身份驗證要求約束的信息（客戶、患者、公民、人力資源等）的合規計劃的一部分。
• 高級用戶和他們所在的組織在一個無處不在的互聯世界中這樣做，這意味著當他們的憑據被破壞時，暴露給僱主的漏洞是使用 MFA 保護其帳戶的有力力量。
• 幾乎每個人的口袋裡都有一台聯網的電腦（智能手機），他們用它來生活：社交媒體、消費者個人化內容和電子商務。由於客戶希望在其設備上以數位方式與企業進行交互，因此組織通常會採取積極的移動應用策略，需要 MFA 來管理其風險。 

哪些要求組織使用 MFA 來遵守規定？

• 聯邦金融機構審查委員會（FFIEC）於2005年10月發佈指導意見，要求銀行重新評估其登錄協定，認為單因素認證作為唯一的控制機制，不足以應對涉及訪問或資金流動的高風險交易，並根據其服務風險加強認證。除了授權之外，金融機構在獲得客戶信任方面也面臨著很高的門檻。
• 格雷姆-裡奇-比利雷法案 （GLBA） – 美國金融機構必須確保其客戶記錄的安全性和機密性。
• 《薩班斯-奧克斯利法案》（SOX）第404條要求上市公司的首席執行官和首席財務官證明其內部控制的有效性。
• PCI DSS要求 8.2 定義了身份驗證要求，其中包括用於遠端訪問持卡人數據環境 （CDE） 的 MFA。 它還建議應使用哪些方法。

有哪些方法可以減少 MFA 對用戶體驗的干擾？

IT 可以使用一些技術來減少 MFA 可能給使用者帶來的摩擦：

• 單點登錄。
• 訪問請求的風險評估。
• 將最佳身份驗證類型與使用者匹配。

單點登入 （SSO）

單點登錄 （SSO） 允許使用者僅通過使用者的單次交互對多個資源進行身份驗證，這意味著使用者輸入單個憑據，在該會話期間，其下的基礎結構代表他向每個受保護的資源進行身份驗證。最安全的 SSO 方法是讓身份驗證引擎對為 SSO 設置的每個資源使用一組唯一的憑據。這將安全性提升到一個高級別，因為：

• 使用者不知道資源的實際憑據，而只知道提供給身份驗證網關的用於憑據的憑據。這會強制使用者使用身份驗證閘道，而不是直接轉到資源。這也意味著每個資源都有一個唯一的憑據，因此如果其中一個資源的身份存儲被破壞，它不會危及其他資源。此方法允許 IT 在對受保護資源執行串行身份驗證時遵守 MFA 要求。  
• 通過利用使用者上下文，基於風險的 （RBA） 技術只能在需要時調用 MFA。無論是為了遵守政府指令還是強制執行組織的風險管理策略，RBA 都可用於減少對使用者施加身份驗證請求的實例。策略通常是位置、設備和訪問時間的混合。 

低摩擦身份驗證選項

雖然傳統的 OTP/TOTP 仍將是最常見的第二因素身份驗證類型，但可能還有其他選項對某些情況更有意義。帶外推送移動應用程式為 OTP 提供了低摩擦選項，因為使用者需要做的就是點擊接受按鈕。對於風險較高的情況，一些推送應用程式可以選擇推送行動應用程式，可以配置為需要指紋來驗證此人的身份，以及確認桌面上顯示的資訊（例如數位），以進一步驗證使用者是否同時擁有桌面和智能手機。

面部識別正迅速成為首選的生物識別身份驗證。Windows Hello 的低摩擦特性，注意到它會隨著時間的推移而變得更好，提供方便的用戶體驗。最大的挑戰是 Windows Hello 不能很好地處理各種照明情況。這種無法識別整個照明的人臉可以通過額外的面部配準進行管理。最近，一些移動應用程式提供了在眼睛中註冊一個人的虹膜圖案的能力。結合使用（面部、指紋、虹膜），生物識別身份驗證選項將安全門檻提高到相當高的水準，讓局外人無法擊敗。對於尋求低摩擦方式來防止網路釣魚攻擊的組織來說，生物識別方法也是一個很好的選擇。

語音辨識在金融服務領域越來越受歡迎。機構喜歡它，因為當客戶與服務代表交談時，它完全是被動的。當客戶的身份得到驗證時，代表將收到通知。他們使用語音辨識來代替客戶的挑戰問題，這些客戶經常難以記住對他們的正確回答。在這種情況下，安全性和可用性得到了優化。

FIDO/FIDO2 是使用者在多個設備上漫遊的有吸引力的選項。使FIDO成為有吸引力的身份驗證選項的部分原因是其廣泛的供應商支援及其對可用性的關注。FIDO在與大量使用各種數位服務的學生打交道的大學中獲得了顯著的吸引力。FIDO 允許跨不同設備和平台進行無密碼身份驗證的可移植性。

智慧手機手勢的分析是一種行為分析，它對擁有者如何處理設備以及與其設備進行物理交互的方式執行啟發式分析。輸出是基於跟蹤手勢模式的置信度評級。隨著時間的流逝，分析會增加置信度，從而建立出手勢保真度。雖然最初還不足以成為身份驗證的主要形式，但手勢分析可以作為一種合適的方法，與其他身份驗證類型結合使用。

怎麼樣 NetIQ 與其他 MFA 解決方案不同？

安全團隊經常實施所採用的身份驗證附帶的支持軟體。這似乎很有效，直到購買了需要不同軟體實現的不同設備，從而創建了另一個孤島。在大型組織中，很有可能有多個無密碼技術孤島用於多重身份驗證或滿足其他一些身份驗證要求。這種情況的缺點是每個身份驗證接收器都有自己的一組策略。使這些多個策略存儲保持最新狀態需要更高的管理開銷，並引入策略不均衡的風險。

OpenText™ NetIQ™ 高級身份驗證旨在滿足大型組織的多重身份驗證需求。它基於標準的方法提供了一個開放的架構，沒有供應商鎖定的風險。該框架支援各種設備和開箱即用的其他方法，但隨著新技術推向市場，也可以進行擴展。

無論平臺如何（Web、移動、用戶端），AA 都為最常見的平臺和應用程式提供開箱即用的支援。除了作為中央策略引擎對企業範圍的身份驗證外，AA 還提供了一個基於風險的引擎來控制何時調用 MFA，以及控制在不同風險級別下提供哪些身份驗證類型。除了自己的內置引擎外，AA 還集成了 NetIQ Access Manager 提供一組強大的單點登錄選項和風險指標，可用作自適應訪問管理用例的一部分。