什么是多因素身份验证（MFA）

多重身份验证（MFA）是在授予用户访问特定资源的权限之前，使用多重身份验证来验证用户身份的过程，仅使用单一因素（传统上是用户名和密码）来保护资源，使它们容易受到破坏，添加其他身份验证因素可为资源提供坚不可摧的保护，并降低网络攻击的可能性。

多重身份验证（MFA）在身份和访问管理（IAM）中发挥着不可或缺的作用，可帮助组织更接近创建零信任安全框架。

多重身份验证如何工作

MFA 的工作原理是使用用户名和密码以外的身份验证因素来验证用户，这些身份验证因素包括：

• knowledge factor：比如密码，某个秘密问题的答案，某个特定模式比如Android上锁屏解锁时的特定滑动序列。
• possession factor ：比如银行卡， RSA SecurID, 各种银行提供的电子令牌，YubiKey，以及人手一部的手机，各种认证系统往手机发送认证码就是假定了持有手机的人是目标用户。
• inherence factor：涉及借助遗传的生物识别手段来验证身份，例如：指纹扫描，面部扫描，视网膜扫描，语音识别。

为什么 MFA 很重要

仅使用密码保护资源只能保护身份的最低限度。黑客可以使用多种攻击来破坏密码，例如暴力攻击、网络钓鱼攻击、字典攻击和 Web 应用程序攻击，这就是为什么实施额外的身份验证层来保护资源非常重要的原因。

用户恰好是组织安全链中最薄弱的环节。他们可能会在不知不觉中选择弱密码、重复多个资源的密码、将密码存储在显眼的地方或长时间保留相同的密码，实施 MFA 可防止这些用户漏洞。因此，即使未经授权的人员获取了用户的密码，他们仍然无法获得对特权资源的访问权限，因为他们需要其他信息才能完成后续的 MFA 方法。

特权帐户（例如管理员或 C 级执行帐户）通常容易受到攻击。如果攻击者掌握了这些帐户中任何一个的凭据，他们将可以访问网络中最重要的数据和资源，其影响可能是不可逆转的。为了降低风险，组织必须使用额外的安全层来保护其高风险帐户。

部署 MFA 不仅有助于组织加强访问，还有助于他们遵守数据监管规范，如 PCI DSS、GDPR、NIST 800-63B、SOX 和 HIPAA。

2FA 和 MFA 有什么区别

双因素身份验证（2FA）是 MFA 的同义词，但是，顾名思义，2FA 总共只包含两个身份验证因素，而 MFA 对涉及的身份验证因素的数量没有任何限制。

多重身份验证（MFA）的使用更广泛，因为它使用多种身份验证方法更好地保护资源。但对于合法用户来说，每天必须使用多种身份验证方法证明其身份可能会导致 MFA 疲劳。对于简单智能的MFA，AI和机器学习已经与MFA集成，催生了自适应MFA。

什么是自适应或基于风险的 MFA

自适应MFA（也称为基于风险的 MFA）为用户提供身份验证因素，这些因素在用户每次登录时都会根据 AI 根据上下文信息确定的用户风险级别进行调整。上下文信息包括以下内容：

• 连续登录失败的次数
• 用户帐户和用户角色类别
• 请求访问的用户的物理位置（地理位置）
• 连续登录尝试之间的物理距离（地理速度）
• 请求访问的资源
• 设备类型
• 第三方威胁情报数据
• 某一天和一天中的某一时间
• 操作系统类型
• IP 地址

呈现给用户的身份验证因素基于使用上述上下文因素计算的风险级别，例如，假设用户在度假时尝试在不合时宜的时间登录其工作计算机。用户行为分析（UBA）工具可识别用户的位置和访问时间不同，并自动提示他们使用其他身份验证因素来证明其身份。

有时，当使用 AI 检查用户登录条件且未检测到风险时，可以为用户绕过 MFA 过程，有时，如果用户的活动看起来可疑，他们也可能被拒绝访问所请求的资源。

MFA 的优缺点是什么

优点：

• 帮助保护敏感数据和用户身份。
• 防止密码泄露和用户设备被盗。
• 易于实施。
• 帮助建立安全的环境，这有助于获得客户的信任并为公司建立良好的声誉。
• 帮助遵守 GDPR、PCI DSS、HIPAA 和 NIST 800-63B 等数据合规性法规。
• 易于用户适应。

缺点：

• 授权用户有时可能会被拒绝访问，因为带有 OTP 的设备放错了位置，用于第二因素身份验证。
• 耗时，阻碍用户工作效率。
• 自适应 MFA 中可能出现错误判断，从而拒绝合法用户访问。
• 实施成本可能很高。

通过MFA保护企业的网络

ADSelfService Plus是一种身份安全解决方案，用于确保安全无缝地访问企业资源并建立零信任环境。具有自适应MFA、单点登录、员工自助服务以及密码管理和安全性等功能，可为员工提供安全而轻松的资源访问。提供不同类型的高级身份验证技术，以在以下期间强制执行Active Directory MFA：

• 计算机登录（Windows、macOS 和 Linux 系统）。
• RDP 和 VPN 登录。
• 通过 SSO 登录企业应用程序。
• OWA 登录名。

ADSelfService Plus 通过自适应身份验证、条件访问和无密码身份验证等功能，以满足企业的所需要的多重身份验证（MFA）需求。