多因素身份驗證(MFA)是一種IT安全技術(shù)方法，它的出現(xiàn)要早于Web本身，這種技術(shù)方法要求人們提供多種形式的身份識別或信息來確認(rèn)其身份的合法性，以進(jìn)行在線交易或者獲取對企業(yè)應(yīng)用的訪問權(quán)限。使用多因素身份驗證的目的是提高攻擊難度，讓攻擊者不能輕易利用登錄過程來自由訪問個人或企業(yè)網(wǎng)絡(luò)以及感染電腦來竊取機密信息，或者其他更糟糕的情況。

[[121836]]

簡單地說，多因素身份驗證利用只有每個用戶自己擁有的東西(指紋、聲紋、密鑰卡、安全代碼或者智能手機上的軟件)，并結(jié)合另一種因素，即用戶知道的東西(例如往常的用戶名/密碼登錄對話框)來證明他或她的合法身份。

多因素身份驗證曾被稱為雙因素身份驗證，但現(xiàn)在有很多不同的因素可以用于提供額外的安全性，前者已經(jīng)超越后者成為首選術(shù)語。很多IT人員可能還記得生物識別手掃描儀，該設(shè)備用于保護(hù)很多數(shù)據(jù)中心的入口點，也是他們接觸的第一個這種類型的設(shè)備。

MFA令牌：從密鑰卡到智能手機

在十多年前多因素身份驗證的早期階段，針對移動員工的一次性密碼生成器開始流行，它是采用密鑰卡的形式，其中有一個小的液晶顯示屏和按鈕。當(dāng)用戶按下該按鈕時，密鑰卡上的屏幕會顯示30秒的序列號。然后用戶必須在這段時間內(nèi)準(zhǔn)確輸入這個序列號到他們試圖訪問的應(yīng)用或資源。這些密鑰卡生成的序列號會由企業(yè)網(wǎng)絡(luò)中的服務(wù)器進(jìn)行檢查以確保它們相匹配。該服務(wù)器運行身份管理程序、設(shè)置各種安全政策以及連接令牌到用戶目錄存儲(例如Active Directory或RADIUS)。

如果輸入的數(shù)字序列相匹配，用戶則被允許訪問。如果不匹配，他或她必須通過再次按下密鑰卡的按鈕來生成一個全新的密碼。雖然這些令牌在早期是很好的多因素解決方案，并且，某些地區(qū)仍然在使用這種做法，但現(xiàn)在密鑰卡被認(rèn)為是有些過時的技術(shù)。它們也不是完美的：舉個例子，今年早些時候，高級網(wǎng)絡(luò)釣魚攻擊Emmental(在Swiss cheese之后)結(jié)合了流氓證書與對雙因素身份驗證登錄的中間人攻擊。

另外，追蹤令牌(例如密鑰卡)也是很麻煩的事情，并且，用戶在需要登錄到某處時可能所需令牌沒在手邊。此外，當(dāng)用戶離開公司或者密鑰卡丟失時，還需要停用來終止訪問。

這些問題的答案?智能手機

很多智能手機應(yīng)用可以像密鑰卡一樣生成一次性密碼，并可以幫助緩解上述問題。而且，隨著蘋果和谷歌添加指紋傳感器到其手機，第二個因素可以超越簡單的一次性數(shù)字密碼來從智能手機的內(nèi)置掃描儀識別用戶指紋的數(shù)字拷貝。

智能手機和其他移動設(shè)備提供的其他類型的第二因素包括SMS文本、電子郵件和攝像頭來掃描QR代碼，當(dāng)用戶試圖登錄到應(yīng)用或資源或進(jìn)行交易時QR代碼會顯示在網(wǎng)頁上。

MFA吸引力日益增加

由于密碼已經(jīng)變得不安全，多因素工具的應(yīng)用范圍有所擴大，從原來的核心IT人員擴展到很多大型企業(yè)的每個員工，特別是涉及個人信息時。它們也超越了最初的身份管理工具，目前在單點登錄產(chǎn)品也很常見。

除此之外，隨著軟件即服務(wù)網(wǎng)絡(luò)服務(wù)的發(fā)展以及重復(fù)使用密碼次數(shù)的增加，多因素方法已經(jīng)變得越來越重要，并越來越吸引著中小企業(yè)。同時，F(xiàn)acebook、LinkedIn、Twitter、Gmail、蘋果和很多其他供應(yīng)商已經(jīng)采用這些工具來保護(hù)自己的登錄信息。

如果企業(yè)還沒有使用和支持多因素工具，他們會發(fā)現(xiàn)他們需要一些努力來配置和部署這些工具。這些工具有很多移動部件，企業(yè)將需要其IT部門的各個領(lǐng)域的專家來協(xié)調(diào)和配置基礎(chǔ)設(shè)施，讓受保護(hù)登錄正常工作。

雖然現(xiàn)在新的多因素身份驗證工具比較容易管理，但它們?nèi)匀簧婕耙恍┱瞎ぷ?。為此，其中有些工具包括各種軟件代理，可以保護(hù)VPN、SharePoint服務(wù)器、Outlook Web Access和數(shù)據(jù)庫服務(wù)器等。

最后，一個相對較新的發(fā)展是將傳統(tǒng)基于硬件的內(nèi)部多因素服務(wù)器轉(zhuǎn)移到云計算。大多數(shù)多因素解決方案供應(yīng)商同時提供這兩種選項，并且，他們越來越多地看到客戶選擇異地部署，主要是因為云計算在支持和管理方面提供的靈活性。

MFA的成本

部署多因素身份驗證解決方案的典型成本是每個月每令牌幾美元。然而，對于有很多用戶或令牌或兩者皆有的企業(yè)而言，這可能意味著每年幾萬美元的成本。

讓問題更復(fù)雜的是，每個供應(yīng)商采用不同的方法來計算底線價格：批量折扣、多年價格間斷和24x7的支持費用。有些按每個令牌來計費(軟或硬令牌有不同的費率)，而有些則是按每個用戶或每臺服務(wù)器收費。有些供應(yīng)商還添加了附加組件或整合層的價格。

當(dāng)然，多因素身份驗證工具值得冒這個險，特別是隨著密碼漏洞利用的數(shù)量不斷增加并搶占頭條新聞。企業(yè)需要更好的方法來保護(hù)用戶登錄信息，不能只是使用簡單的用戶名/密碼組合。

目前我們看到多因素身份驗證技術(shù)正被用于越來越多的領(lǐng)域，看看各種消費級SaaS和社交媒體服務(wù)的部署數(shù)量就知道。強大的多因素身份驗證產(chǎn)品和用戶對加強身份驗證重要性的認(rèn)識意味著，現(xiàn)在是企業(yè)考慮雙因素身份驗證的最佳時期。