什麼是多重要素驗證 (MFA)?

多重要素驗證在允許使用者存取應用程式或資料庫之前會檢查其身分的多個方面,而不僅僅是檢查一個方面。它比單一要素驗證安全得多。

學習目標

閱讀本文後,您將能夠:

  • 定義多重要素驗證 (MFA)
  • 瞭解為什麼 MFA 比單獨使用密碼更安全
  • 探索各種身分驗證因素

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 MFA(多重要素驗證)?

多重要素驗證 (MFA) 是一種驗證使用者身分的方法,比經典的使用者名稱-密碼組合更安全。MFA 通常包含密碼,但也包含一兩個其他驗證因素。雙重驗證 (2FA) 是一種 MFA。

MFA 是身分識別與存取管理 (IAM) 的重要組成部分,通常在單一登入 (SSO) 解決方案中實作。

什麼是驗證因素?

在授予使用者存取軟體應用程式或網路的權限之前,身分驗證系統會評估使用者的特定特徵,以確保他們是所聲稱的人。這些特徵也稱為「驗證因素」。

三種最廣泛使用的驗證因素是:

  1. 知道的內容:使用者知道的內容
  2. 擁有的物品:使用者擁有的物品
  3. 固有特質:使用者的特質

MFA 是指兩個或多個驗證因素的任何用法。如果僅使用兩個驗證因素,則 MFA 也稱為雙重驗證或兩步驗證。三重要素驗證是 MFA 的另一種形式。

三個驗證因素有哪些實際範例?

  • 知道的內容(使用者知道的內容):此因素是一些僅限一個使用者擁有的知識,例如使用者名稱和密碼組合。其他類型的「知道的內容」因素包括安全性問題、身分證號碼和社會安全號碼。甚至是「祕密交握」也可能是使用者知道的內容。
  • 擁有的物品(使用者擁有的物品): 此因素是指擁有實體權杖、裝置或金鑰。此驗證因素的最基本範例是使用實體房屋鑰匙進入某人的家。在運算環境中,實體物件可以是金鑰卡、USB 裝置,甚至是智慧型手機。
    許多現代 MFA 系統會向使用者的手機傳送臨時代碼,並要求他們輸入該代碼以存取其帳戶。這表明使用者擁有其他人沒有的手機,這有助於確定他們的身分(除非攻擊者劫持了使用者的 SIM 卡)。
  • 固有特質(使用者的特質):這是指一個人身體的物理屬性。此驗證因素的最基本版本是透過視覺或聲音識別某人。人類在日常互動中不斷使用這種能力。對照身分證上的照片檢查一個人的樣貌是驗證固有特質的另一個範例。在運算環境中,此驗證因素的一個範例是 Face ID,這是許多現代智慧型手機提供的功能。其他方法可能包括指紋掃描、視網膜掃描和血液檢查。

為什麼 MFA 比單一要素驗證更安全?

單一要素驗證是僅使用上述因素之一來識別一個人。要求使用者名稱和密碼組合是單一要素驗證的最常見範例。

單一要素驗證的問題在於,攻擊者只需以一種方式成功攻擊使用者即可冒充使用者。如果有人竊取了使用者的密碼,則使用者帳戶會被盜用。相比之下,如果使用者實作 MFA,則攻擊者存取其帳戶所需要的不僅僅是密碼。例如,他們可能還需要從使用者那裡竊取實體物品,而這要困難得多。

此問題也適用於其他形式的單一要素驗證。想像一下,如果在取錢時銀行僅要求提供轉帳卡(擁有的物品因素),而不是要求提供轉帳卡和 PIN。那麼,小偷只需要竊取某人的轉帳卡,就可以從其帳戶中盜取資金。

請務必記住,使 MFA 安全的是使用不同的因素,而不是多次使用同一因素。

假設一個應用程式僅提示使用者輸入密碼,而另一個應用程式提示使用者輸入密碼和安全性問題的答案。哪個應用程式更安全?

從技術上講,答案是都不安全:兩個應用程式都僅依賴於一個驗證因素,即知道的內容因素。要求密碼和實體權杖或指紋掃描的應用程式比只要求密碼和回答某些安全性問題的應用程式更安全。

哪些形式的 MFA 最有效?

這是一個與背景高度相關的問題。一般來說,任何形式的多重要素驗證都比單一要素驗證安全得多。

儘管如此,某些形式的 MFA 已被證明容易受到複雜攻擊方法的攻擊。在一個真實的範例中,攻擊者向員工傳送簡訊網路釣魚訊息,指向該組織單一登入服務的虛假登入頁面。如果使用者在這個虛假頁面中輸入使用者名稱和密碼,則會發生以下步驟:

  1. 攻擊者在組織的真實登入頁面上使用盜來的使用者名稱和密碼。
  2. 真實的登入頁面試圖透過向真實使用者的手機傳送臨時代碼來驗證另一個驗證因素——擁有的物品。
  3. 攻擊者將使用者重新導向到另一個虛假頁面,該頁面要求他們輸入臨時代碼。
  4. 如果使用者輸入了,攻擊者就會在真實的登入頁面上使用該代碼並獲得對該帳戶的存取權限。

相較之下,使用 USB 安全性權杖的驗證方法不會受到這種特定攻擊的影響。如果所有使用者都有一個用來插入電腦的唯一安全性權杖,並且必須實際啟用這些權杖才能進行驗證,那麼即使擁有某人的使用者名稱和密碼,攻擊者也將無法存取帳戶,除非他們竊取了該人的電腦。使用固有特質(例如使用者的指紋或臉部掃描)驗證身分的情況也是如此。

這是否意味著安全性權杖和指紋掃描比單次密碼更安全?在網路釣魚環境中來說,是的。但是,組織應在選擇 MFA 方法之前評估其特定安全風險和需求。同樣,任何形式的 MFA 都比單一要素驗證更安全,並且將代表組織安全旅程中的重要一步。

還有其他驗證因素嗎?

除了上面列出的三個主要因素之外,安全性產業的一些成員還提出或實作了其他驗證因素。儘管很少實施,但這些驗證因素包括:

位置:使用者登入時的位置。例如,如果一家公司位於美國,其所有員工都在美國工作,它可以評估員工的 GPS 位置並拒絕來自其他國家/地區的登入。

時間:使用者登入的時間,通常與其他登入和位置有關。如果使用者似乎從一個國家/地區登入,幾分鐘後又試圖從另一個國家/地區進行後續登入,則這些請求不太可能是合法的。系統可能也會拒絕正常工作時間之外的登入,儘管這更像是安全性原則,而不是身分驗證因素。

如果這些都被認為是額外的身分因素(這存在爭議),那麼四重要素驗證和五重要素驗證在技術上是可行的。兩者都屬於多因素驗證的範疇。

實作如此強大的安全性措施必須與這對使用者造成的損失進行權衡,因為過於嚴格的安全性措施通常會促使使用者規避官方政策。

使用者如何為其帳戶實作 MFA?

目前,許多消費者 Web 服務都提供 MFA。大多數使用 MFA 的應用程式都提供一種 2FA 形式,要求使用者在登入時使用智慧型手機。探索每個應用程式中的安全性設定,以查看是否可以啟動 2FA。此外,Cloudflare 允許所有 Cloudflare 使用者為其帳戶實作 2FA

企業如何實作 MFA?

想要實作 MFA,建議使用 SSO 解決方案。SSO 提供單一的場所,以便對所有應用程式實作 MFA,但並非所有應用程序都支援 MFA。

Cloudflare Zero Trust 與支援雙重驗證的 SSO 廠商整合。Cloudflare 透過控制使用者能夠執行的操作並對員工(無論他們是遠端工作還是在受控辦公環境中工作)實施安全性原則,來協助保護公司的網站和雲端應用程式。