IT 安全界似乎已經(jīng)達(dá)成共識(shí)：用戶往往是最薄弱的環(huán)節(jié)，人為錯(cuò)誤或疏漏很容易就導(dǎo)致憑證被盜。事實(shí)上，憑證被盜引發(fā)了61%的數(shù)據(jù)泄露事件，由此產(chǎn)生的損失也增加了23%。那么如何降低這種風(fēng)險(xiǎn)呢？答案就是多因素認(rèn)證（MFA），它是 IT 系統(tǒng)抵御安全漏洞的第一道防線，對(duì)于缺少安全策略的企業(yè)來說是最容易實(shí)現(xiàn)的安全措施。

本文將深入探討多因素認(rèn)證涉及的主要驗(yàn)證因素形式以及各種因素的特征，方便企業(yè)選擇適合自己公司環(huán)境的多因素認(rèn)證方案。

一、什么是驗(yàn)證因素？

在身份和訪問管理（IAM）領(lǐng)域中，驗(yàn)證因素指用于確認(rèn)用戶身份的一種認(rèn)證方式。例如，登錄郵箱時(shí)，用戶的郵箱地址就代表創(chuàng)建的身份。登錄郵箱的密碼就是一種驗(yàn)證因素，認(rèn)證用戶的郵箱身份。登錄過程中包含的驗(yàn)證因素越多，安全性就越高。但是一味提高安全性對(duì)于用戶來說可能反而是一種麻煩，因此 IT 管理員必須平衡安全性和用戶體驗(yàn)。

二、最常見的三種驗(yàn)證因素

多因素認(rèn)證中最常用的驗(yàn)證因素可以分為以下三類：

1、知識(shí)，也就是你知道的東西，如安全密保問題

2、持有物，也就是你擁有的東西，如 SMS 密碼或硬件令牌

3、固有屬性，也就是生理特征，如指紋或面部識(shí)別

業(yè)內(nèi)也有人將驗(yàn)證因素分為五類，除了上述三種以外還包括用戶所處的地理位置和用戶行為。后兩種因素不太常見，而且通常不夠安全，因此本文將重點(diǎn)介紹前三種主要的驗(yàn)證因素。

三、知識(shí)因素：最不靠譜的安全措施

密碼疲勞是當(dāng)今社會(huì)真實(shí)存在的問題。在人人都有多設(shè)備、多賬號(hào)的時(shí)代，管理所有賬號(hào)多個(gè)密碼、PIN 碼和密保安全答案的確工作量巨大。這些知識(shí)因素占據(jù)了很多用戶記憶存儲(chǔ)的很大一部分。長(zhǎng)此以往，用戶就會(huì)選擇最簡(jiǎn)單粗暴的方式——重復(fù)使用密碼。

知識(shí)因素的問題可能要?dú)w結(jié)于人的天性：91%的用戶了解重復(fù)使用密碼的風(fēng)險(xiǎn)，但仍有 61%的人堅(jiān)持這么做，原因在于人們比起安全漏洞更害怕忘記密碼找回賬號(hào)的麻煩。這也是為什么管理員需要在密碼的基礎(chǔ)上添加額外驗(yàn)證因素的原因。

四、持有物因素有哪些？

1）郵件和短信驗(yàn)證碼

通過短信或郵件發(fā)送的驗(yàn)證碼可以說是現(xiàn)在最普遍的第二驗(yàn)證因素，如果遇到惡意攔截，可能安全性也不是最高。此外，以移動(dòng)網(wǎng)絡(luò)或電子郵箱為目標(biāo)的針對(duì)性攻擊也比想象的更容易實(shí)施，而這類基本驗(yàn)證碼也不能妥善應(yīng)對(duì)。

2）基于時(shí)間的動(dòng)態(tài)密碼（TOTP）

TOTP 和郵件/短信驗(yàn)證碼非常類似，但在安全性上卻更勝一籌，主要?dú)w為以下2個(gè)原因：

a. 動(dòng)態(tài)碼是直接在用戶所持設(shè)備上生成的，而且有嚴(yán)格的時(shí)間限制

b. 由于不涉及第三方網(wǎng)絡(luò)且時(shí)間限制很短，潛在的違規(guī)風(fēng)險(xiǎn)大幅降低

3）推送通知

推送通知是復(fù)雜版的動(dòng)態(tài)密碼（TOTP），可以通過寧盾令牌 APP 輕松實(shí)現(xiàn)。用戶無需輸入動(dòng)態(tài)密碼（TOTP），只需在手機(jī)上確認(rèn)身份認(rèn)證的請(qǐng)求通知即可。

簡(jiǎn)單的一鍵確認(rèn)不僅優(yōu)化了用戶體驗(yàn)，還能結(jié)合其他驗(yàn)證因素進(jìn)一步提升安全性，例如 PIN 碼、指紋或面部識(shí)別等。

4）硬件令牌

硬件令牌也稱為通用第二因素（U2F）密鑰，可以說是持有物因素中最安全的一種，除了丟失或被盜以外不存在其他的安全風(fēng)險(xiǎn)。用戶可以將令牌直接插入設(shè)備或生成 TOTP 進(jìn)行身份認(rèn)證，比如寧盾硬件令牌就內(nèi)置校驗(yàn)時(shí)鐘和動(dòng)態(tài)密碼（TOTP）算法種子。

谷歌安全博客研究發(fā)現(xiàn)硬件令牌可以完全防止機(jī)器人暴力破解、批量網(wǎng)絡(luò)釣魚等針對(duì)性的賬號(hào)接管攻擊（ATO）。在基于硬件令牌的身份認(rèn)證過程中，被盜憑證的可信權(quán)重顯著降低。

除了安全優(yōu)勢(shì)之外，硬件令牌的使用也十分簡(jiǎn)單。USB形式的硬件令牌，終端用戶需要插入系統(tǒng)后按下按鈕，就能通過身份認(rèn)證，快速訪問授權(quán)資源。非插拔式的硬件令牌則需要及時(shí)輸入令牌上生成的動(dòng)態(tài)密碼（TOTP）。

硬件令牌和其他持有物因素的一個(gè)重要區(qū)別在于，它將關(guān)鍵的安全措施與用戶的個(gè)人設(shè)備分分離，進(jìn)一步保障了企業(yè)的信息安全。

五、固有屬性因素有哪些？

1）生物識(shí)別

與行為型生物特征不同，用戶的物理生物特征無法更改且獨(dú)立于任何設(shè)備，具體包括：

a. 指紋

b. 面部

c. 聲紋

d. 虹膜或視網(wǎng)膜

在身份認(rèn)證領(lǐng)域中，最常見的生物特征是指紋。雖然在技術(shù)上指紋也是可以偽造的，但要偽造成本很高，指紋識(shí)別技術(shù)也在不斷改進(jìn)。因此指紋通常被認(rèn)為是一種比較安全的驗(yàn)證因素，尤其是和其他驗(yàn)證因素結(jié)合使用時(shí)安全性會(huì)進(jìn)一步提升。

六、多因素認(rèn)證和零信任

目前，78% 的 IT 安全企業(yè)認(rèn)為自己缺乏足夠的網(wǎng)絡(luò)攻擊防護(hù)，91% 的企業(yè)在今年增加了網(wǎng)絡(luò)安全層面的預(yù)算。在網(wǎng)絡(luò)犯罪愈演愈烈的今天，無論是弱密碼還是被盜設(shè)備都有可能成為安全隱患，對(duì)于企業(yè)來說，最低限度的安全等于不安全。

這也是零信任安全策略的核心理念：對(duì)于一切未經(jīng)認(rèn)證的實(shí)體都不能信任。目前，業(yè)內(nèi)認(rèn)為零信任是一種最佳實(shí)踐，尤其適合存在遠(yuǎn)程辦公或混合場(chǎng)景的企業(yè)。

而建立零信任環(huán)境也離不開多因素認(rèn)證（MFA），除了靜態(tài)登錄密碼之外，用戶只有通過二次認(rèn)證才能獲得信任，從而訪問應(yīng)用、設(shè)備、網(wǎng)絡(luò)等 IT 資源。

七、使用 NingDS 實(shí)施多因素認(rèn)證

NingDS 作為新一代身份目錄即服務(wù)（Directory-as-a-Service，DaaS）可在云上統(tǒng)一管理身份、訪問和設(shè)備，在不影響現(xiàn)有基礎(chǔ)架構(gòu)的情況下，輕松為各類 IT 資源部署多因素認(rèn)證（MFA），在認(rèn)證因素形式上支持手機(jī)APP令牌、小程序令牌、推送認(rèn)證、郵件、短信等多種形式，還可以實(shí)施條件訪問策略以滿足企業(yè)的安全合規(guī)要求，提供更好的用戶體驗(yàn)。

本文來源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨