IT 安全界似乎已經(jīng)達成共識：用戶往往是最薄弱的環(huán)節(jié)，人為錯誤或疏漏很容易就導致憑證被盜。事實上，憑證被盜引發(fā)了61%的數(shù)據(jù)泄露事件，由此產(chǎn)生的損失也增加了23%。那么如何降低這種風險呢？答案就是多因素認證（MFA），它是 IT 系統(tǒng)抵御安全漏洞的第一道防線，對于缺少安全策略的企業(yè)來說是最容易實現(xiàn)的安全措施。

本文將深入探討多因素認證涉及的主要驗證因素形式以及各種因素的特征，方便企業(yè)選擇適合自己公司環(huán)境的多因素認證方案。

一、什么是驗證因素？

在身份和訪問管理（IAM）領域中，驗證因素指用于確認用戶身份的一種認證方式。例如，登錄郵箱時，用戶的郵箱地址就代表創(chuàng)建的身份。登錄郵箱的密碼就是一種驗證因素，認證用戶的郵箱身份。登錄過程中包含的驗證因素越多，安全性就越高。但是一味提高安全性對于用戶來說可能反而是一種麻煩，因此 IT 管理員必須平衡安全性和用戶體驗。

二、最常見的三種驗證因素

多因素認證中最常用的驗證因素可以分為以下三類：

1、知識，也就是你知道的東西，如安全密保問題

2、持有物，也就是你擁有的東西，如 SMS 密碼或硬件令牌

3、固有屬性，也就是生理特征，如指紋或面部識別

業(yè)內(nèi)也有人將驗證因素分為五類，除了上述三種以外還包括用戶所處的地理位置和用戶行為。后兩種因素不太常見，而且通常不夠安全，因此本文將重點介紹前三種主要的驗證因素。

三、知識因素：最不靠譜的安全措施

密碼疲勞是當今社會真實存在的問題。在人人都有多設備、多賬號的時代，管理所有賬號多個密碼、PIN 碼和密保安全答案的確工作量巨大。這些知識因素占據(jù)了很多用戶記憶存儲的很大一部分。長此以往，用戶就會選擇最簡單粗暴的方式——重復使用密碼。

知識因素的問題可能要歸結(jié)于人的天性：91%的用戶了解重復使用密碼的風險，但仍有 61%的人堅持這么做，原因在于人們比起安全漏洞更害怕忘記密碼找回賬號的麻煩。這也是為什么管理員需要在密碼的基礎上添加額外驗證因素的原因。

四、持有物因素有哪些？

1）郵件和短信驗證碼

通過短信或郵件發(fā)送的驗證碼可以說是現(xiàn)在最普遍的第二驗證因素，如果遇到惡意攔截，可能安全性也不是最高。此外，以移動網(wǎng)絡或電子郵箱為目標的針對性攻擊也比想象的更容易實施，而這類基本驗證碼也不能妥善應對。

2）基于時間的動態(tài)密碼（TOTP）

TOTP 和郵件/短信驗證碼非常類似，但在安全性上卻更勝一籌，主要歸為以下2個原因：

a. 動態(tài)碼是直接在用戶所持設備上生成的，而且有嚴格的時間限制

b. 由于不涉及第三方網(wǎng)絡且時間限制很短，潛在的違規(guī)風險大幅降低

3）推送通知

推送通知是復雜版的動態(tài)密碼（TOTP），可以通過寧盾令牌 APP 輕松實現(xiàn)。用戶無需輸入動態(tài)密碼（TOTP），只需在手機上確認身份認證的請求通知即可。

簡單的一鍵確認不僅優(yōu)化了用戶體驗，還能結(jié)合其他驗證因素進一步提升安全性，例如 PIN 碼、指紋或面部識別等。

4）硬件令牌

硬件令牌也稱為通用第二因素（U2F）密鑰，可以說是持有物因素中最安全的一種，除了丟失或被盜以外不存在其他的安全風險。用戶可以將令牌直接插入設備或生成 TOTP 進行身份認證，比如寧盾硬件令牌就內(nèi)置校驗時鐘和動態(tài)密碼（TOTP）算法種子。

谷歌安全博客研究發(fā)現(xiàn)硬件令牌可以完全防止機器人暴力破解、批量網(wǎng)絡釣魚等針對性的賬號接管攻擊（ATO）。在基于硬件令牌的身份認證過程中，被盜憑證的可信權(quán)重顯著降低。

除了安全優(yōu)勢之外，硬件令牌的使用也十分簡單。USB形式的硬件令牌，終端用戶需要插入系統(tǒng)后按下按鈕，就能通過身份認證，快速訪問授權(quán)資源。非插拔式的硬件令牌則需要及時輸入令牌上生成的動態(tài)密碼（TOTP）。

硬件令牌和其他持有物因素的一個重要區(qū)別在于，它將關鍵的安全措施與用戶的個人設備分分離，進一步保障了企業(yè)的信息安全。

五、固有屬性因素有哪些？

1）生物識別

與行為型生物特征不同，用戶的物理生物特征無法更改且獨立于任何設備，具體包括：

a. 指紋

b. 面部

c. 聲紋

d. 虹膜或視網(wǎng)膜

在身份認證領域中，最常見的生物特征是指紋。雖然在技術上指紋也是可以偽造的，但要偽造成本很高，指紋識別技術也在不斷改進。因此指紋通常被認為是一種比較安全的驗證因素，尤其是和其他驗證因素結(jié)合使用時安全性會進一步提升。

六、多因素認證和零信任

目前，78% 的 IT 安全企業(yè)認為自己缺乏足夠的網(wǎng)絡攻擊防護，91% 的企業(yè)在今年增加了網(wǎng)絡安全層面的預算。在網(wǎng)絡犯罪愈演愈烈的今天，無論是弱密碼還是被盜設備都有可能成為安全隱患，對于企業(yè)來說，最低限度的安全等于不安全。

這也是零信任安全策略的核心理念：對于一切未經(jīng)認證的實體都不能信任。目前，業(yè)內(nèi)認為零信任是一種最佳實踐，尤其適合存在遠程辦公或混合場景的企業(yè)。

而建立零信任環(huán)境也離不開多因素認證（MFA），除了靜態(tài)登錄密碼之外，用戶只有通過二次認證才能獲得信任，從而訪問應用、設備、網(wǎng)絡等 IT 資源。

七、使用 NingDS 實施多因素認證

NingDS 作為新一代身份目錄即服務（Directory-as-a-Service，DaaS）可在云上統(tǒng)一管理身份、訪問和設備，在不影響現(xiàn)有基礎架構(gòu)的情況下，輕松為各類 IT 資源部署多因素認證（MFA），在認證因素形式上支持手機APP令牌、小程序令牌、推送認證、郵件、短信等多種形式，還可以實施條件訪問策略以滿足企業(yè)的安全合規(guī)要求，提供更好的用戶體驗。

本文來源于寧盾，僅供學習和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨