多重要素驗證在允許使用者存取應用程式或資料庫之前會檢查其身分的多個方面,而不僅僅是檢查一個方面。它比單一要素驗證安全得多。
閱讀本文後,您將能夠:
複製文章連結
多重要素驗證 (MFA) 是一種驗證使用者身分的方法,比經典的使用者名稱-密碼組合更安全。MFA 通常包含密碼,但也包含一兩個其他驗證因素。雙重驗證 (2FA) 是一種 MFA。
MFA 是身分識別與存取管理 (IAM) 的重要組成部分,通常在單一登入 (SSO) 解決方案中實作。
在授予使用者存取軟體應用程式或網路的權限之前,身分驗證系統會評估使用者的特定特徵,以確保他們是所聲稱的人。這些特徵也稱為「驗證因素」。
三種最廣泛使用的驗證因素是:
MFA 是指兩個或多個驗證因素的任何用法。如果僅使用兩個驗證因素,則 MFA 也稱為雙重驗證或兩步驗證。三重要素驗證是 MFA 的另一種形式。
單一要素驗證是僅使用上述因素之一來識別一個人。要求使用者名稱和密碼組合是單一要素驗證的最常見範例。
單一要素驗證的問題在於,攻擊者只需以一種方式成功攻擊使用者即可冒充使用者。如果有人竊取了使用者的密碼,則使用者帳戶會被盜用。相比之下,如果使用者實作 MFA,則攻擊者存取其帳戶所需要的不僅僅是密碼。例如,他們可能還需要從使用者那裡竊取實體物品,而這要困難得多。
此問題也適用於其他形式的單一要素驗證。想像一下,如果在取錢時銀行僅要求提供轉帳卡(擁有的物品因素),而不是要求提供轉帳卡和 PIN。那麼,小偷只需要竊取某人的轉帳卡,就可以從其帳戶中盜取資金。
請務必記住,使 MFA 安全的是使用不同的因素,而不是多次使用同一因素。
假設一個應用程式僅提示使用者輸入密碼,而另一個應用程式提示使用者輸入密碼和安全性問題的答案。哪個應用程式更安全?
從技術上講,答案是都不安全:兩個應用程式都僅依賴於一個驗證因素,即知道的內容因素。要求密碼和實體權杖或指紋掃描的應用程式比只要求密碼和回答某些安全性問題的應用程式更安全。
這是一個與背景高度相關的問題。一般來說,任何形式的多重要素驗證都比單一要素驗證安全得多。
儘管如此,某些形式的 MFA 已被證明容易受到複雜攻擊方法的攻擊。在一個真實的範例中,攻擊者向員工傳送簡訊網路釣魚訊息,指向該組織單一登入服務的虛假登入頁面。如果使用者在這個虛假頁面中輸入使用者名稱和密碼,則會發生以下步驟:
相較之下,使用 USB 安全性權杖的驗證方法不會受到這種特定攻擊的影響。如果所有使用者都有一個用來插入電腦的唯一安全性權杖,並且必須實際啟用這些權杖才能進行驗證,那麼即使擁有某人的使用者名稱和密碼,攻擊者也將無法存取帳戶,除非他們竊取了該人的電腦。使用固有特質(例如使用者的指紋或臉部掃描)驗證身分的情況也是如此。
這是否意味著安全性權杖和指紋掃描比單次密碼更安全?在網路釣魚環境中來說,是的。但是,組織應在選擇 MFA 方法之前評估其特定安全風險和需求。同樣,任何形式的 MFA 都比單一要素驗證更安全,並且將代表組織安全旅程中的重要一步。
除了上面列出的三個主要因素之外,安全性產業的一些成員還提出或實作了其他驗證因素。儘管很少實施,但這些驗證因素包括:
位置:使用者登入時的位置。例如,如果一家公司位於美國,其所有員工都在美國工作,它可以評估員工的 GPS 位置並拒絕來自其他國家/地區的登入。
時間:使用者登入的時間,通常與其他登入和位置有關。如果使用者似乎從一個國家/地區登入,幾分鐘後又試圖從另一個國家/地區進行後續登入,則這些請求不太可能是合法的。系統可能也會拒絕正常工作時間之外的登入,儘管這更像是安全性原則,而不是身分驗證因素。
如果這些都被認為是額外的身分因素(這存在爭議),那麼四重要素驗證和五重要素驗證在技術上是可行的。兩者都屬於多因素驗證的範疇。
實作如此強大的安全性措施必須與這對使用者造成的損失進行權衡,因為過於嚴格的安全性措施通常會促使使用者規避官方政策。
目前,許多消費者 Web 服務都提供 MFA。大多數使用 MFA 的應用程式都提供一種 2FA 形式,要求使用者在登入時使用智慧型手機。探索每個應用程式中的安全性設定,以查看是否可以啟動 2FA。此外,Cloudflare 允許所有 Cloudflare 使用者為其帳戶實作 2FA。
想要實作 MFA,建議使用 SSO 解決方案。SSO 提供單一的場所,以便對所有應用程式實作 MFA,但並非所有應用程序都支援 MFA。
Cloudflare Zero Trust 與支援雙重驗證的 SSO 廠商整合。Cloudflare 透過控制使用者能夠執行的操作並對員工(無論他們是遠端工作還是在受控辦公環境中工作)實施安全性原則,來協助保護公司的網站和雲端應用程式。