人們需要了解選擇多因素身份驗證解決方案時的關(guān)鍵考慮因素以及采用這些解決方案的原因。

如今的基于憑證的網(wǎng)絡(luò)攻擊要復(fù)雜得多。無論是網(wǎng)絡(luò)釣魚技術(shù)、憑證填充，甚至是通過社交工程或第三方服務(wù)破壞而泄露的憑證，憑證很容易成為企業(yè)安全系統(tǒng)最薄弱的一點。這些網(wǎng)絡(luò)攻擊都是針對傳統(tǒng)憑證、用戶名和密碼的，而作為一種合法的安全措施，這些憑證、用戶名和密碼已經(jīng)過時。增強訪問安全性的一個有效方法是多因素身份驗證。

[[431756]]

安全專業(yè)人員需要進行安全控制。在物理安全方面，通常是通過限制入口來實現(xiàn)的，安全人員檢查身份憑證或采用金屬探測器對進入者進行探測。在互聯(lián)網(wǎng)和基于網(wǎng)絡(luò)的應(yīng)用程序爆發(fā)式增長之前，單一的數(shù)字入口點是企業(yè)目錄。員工使用一組憑據(jù)對企業(yè)資源進行身份驗證，然后可以訪問業(yè)務(wù)應(yīng)用程序。

如果沒有專門的工具來維護安全狀態(tài)，現(xiàn)代基礎(chǔ)設(shè)施和基于Web的業(yè)務(wù)應(yīng)用程序使維護這個單一入口點變得更加困難。多因素身份驗證顯著增強了身份驗證過程，其中第一個是附加因素本身：智能手機、硬件多因素身份驗證令牌或基于SMS或電子郵件的身份驗證代碼。身份驗證過程不再依賴于用戶名和密碼等基于安全知識的元素，這些元素可能會被網(wǎng)絡(luò)釣魚或其他惡意技術(shù)破壞。利用其他多因素身份驗證的身份驗證嘗試需要用戶與注冊設(shè)備或硬件設(shè)備進行交互，從而最大限度地減少用戶名和密碼泄露的影響。

選擇多因素身份驗證解決方案

任何安全措施都有一個棘手的部分，那就是讓最終用戶感到便捷或者高效。企業(yè)能做的最糟糕的事情就是提高安全要求，以至于用戶不能(或不會)訪問企業(yè)資源，或者他們想辦法繞過并破壞企業(yè)已經(jīng)實施的安全措施。

多因素身份驗證是選擇身份驗證提供程序時的一個關(guān)鍵特性。安全管理系統(tǒng)(SMS)和基于電子郵件的安全代碼是比較低級的安全措施，但總比沒有好，需要考慮這些因素是否提供需要的安全級別。電子郵件和安全管理系統(tǒng)(SMS)都可能容易受到攻擊。諸如基于時間的一次性密碼(TOTP)之類的多因素身份驗證標準通常得到Google Authenticator等身份驗證應(yīng)用程序的支持，但最終取決于身份驗證服務(wù)和用戶身份驗證設(shè)備都知道的單個身份驗證令牌。許多多因素身份驗證提供商依賴專有協(xié)議，這些協(xié)議使用推送通知到注冊的移動設(shè)備來提供強大的安全性和便捷的身份驗證流程。

多因素身份驗證提供商提供了增強身份驗證安全性的附加工具和功能。如果實施得當(dāng)，多因素身份驗證服務(wù)可以幫助企業(yè)實現(xiàn)跨各種應(yīng)用程序和企業(yè)資源的單一身份驗證焦點。擁有這一身份驗證流量中心點讓企業(yè)可以實現(xiàn)其他功能，如改進的日志記錄和分析、身份驗證策略，甚至人工智能和基于風(fēng)險的條件訪問。

選擇多因素身份驗證解決方案時要考慮的另一個方面涉及企業(yè)希望保護的資源類型。Office365、Google Workspaces或Salesforce等云計算應(yīng)用程序顯然是多因素身份驗證的目標，而且很容易獲勝。企業(yè)虛擬專用網(wǎng)是多因素身份驗證的另一個常見用例，虛擬專用網(wǎng)本質(zhì)上是企業(yè)網(wǎng)絡(luò)的網(wǎng)關(guān)，至少應(yīng)該像對企業(yè)設(shè)施的物理訪問一樣受到保護。將多因素身份驗證與內(nèi)部或自定義業(yè)務(wù)應(yīng)用程序結(jié)合使用是一個艱難的勝利，并且在很大程度上取決于企業(yè)希望保護的應(yīng)用程序的成熟度。最后，有充分的理由實施多因素身份驗證以對企業(yè)桌面和服務(wù)器進行身份驗證，尤其是在越來越多的用戶在家遠程工作的時代。

與企業(yè)使用多因素身份驗證保護的資源結(jié)合在一起的是將這些資源與企業(yè)現(xiàn)有的身份存儲庫聯(lián)系在一起所需的基礎(chǔ)設(shè)施。無論企業(yè)的用例如何，很有可能希望將其多因素身份驗證提供商與企業(yè)的身份存儲庫聯(lián)系起來。這通常涉及與本地輕量級目錄訪問協(xié)議(LDAP)目錄的集成。許多多因素身份驗證提供商使用安裝在本地網(wǎng)絡(luò)上的軟件代理或通過LDAPS(LDAPoverSSL)來執(zhí)行此操作。

在特定于用例的基礎(chǔ)設(shè)施方面，云應(yīng)用程序通常會輕松獲勝，因為許多應(yīng)用程序使用安全斷言標記語言(SAML)等標準無縫集成。大多數(shù)虛擬專用網(wǎng)解決方案支持與遠程身份驗證撥入用戶服務(wù)(RADIUS)的集成，該服務(wù)可用于將身份驗證傳送到現(xiàn)有的RAD IUS服務(wù)器，然后傳送到多因素身份驗證提供商，或者在某些情況下可以使用標準直接與企業(yè)的多因素身份驗證提供商通信RADIUS協(xié)議。自定義或內(nèi)部托管的業(yè)務(wù)應(yīng)用程序可能需要通過API與多因素身份驗證提供商進行交互，或者可能會利用SAML。臺式機和服務(wù)器的多因素身份驗證需要在每個端點上安裝軟件才能將自身插入到身份驗證工作流程中。

八種優(yōu)秀的多因素認證產(chǎn)品

多因素身份驗證細分市場是買方市場。有一些非常可靠的產(chǎn)品，每種產(chǎn)品都具有全面的功能集和相當(dāng)多的靈活性。以下是八種優(yōu)秀的多因素認證產(chǎn)品。

(1) Cisco Duo

Duo是多因素身份驗證中的主要品牌之一。它具有Duo Push中更流行的基于推送的多因素身份驗證選項。Duo還與企業(yè)設(shè)備上的生物識別因素緊密集成，通過確認注冊用戶擁有設(shè)備來提供額外的安全性。

(2) ESET Secure Authentication

ESET公司以其反惡意軟件和端點保護產(chǎn)品而聞名，ESET Secure Authentication是一個功能齊全的多因素身份驗證解決方案，其功能集可與其他的解決方案相媲美。該解決方案支持虛擬專用網(wǎng)和RADIUS;基于瀏覽器的管理控制臺;與現(xiàn)有LDAP目錄或基于云的身份存儲集成;靈活的多因素身份驗證因素，例如推送通知或硬件令牌。ESET甚至為希望將其應(yīng)用程序與服務(wù)更緊密地集成的企業(yè)提供API和SDK。

(3) HID Approve

HID Global與RSA是大型企業(yè)和政府中較為成熟的實體之一。事實上，由于其物理安全解決方案(感應(yīng)卡/刷卡和讀卡器)，HID甚至在多因素身份驗證成為主流之前就已經(jīng)有了重要的立足點。由于計算機系統(tǒng)的企業(yè)身份驗證要求已經(jīng)成熟，HID已做好充分準備以滿足其企業(yè)客戶的需求。

除了硬件和智能卡解決方案之外，HID在HI DApprove中還有一個基于軟件的可靠多因素身份驗證解決方案，可以在不需要硬件投資的情況下進行快速部署。HID Approve支持推送身份驗證和安全策略，該服務(wù)具有運行時應(yīng)用程序自我保護(RASP)，可以監(jiān)控身份驗證嘗試，并幫助防止動態(tài)攻擊。

(4) LastPass MFA

LastPass以其密碼管理器而聞名，但由于多因素身份驗證是身份驗證安全領(lǐng)域的近親，LastPass也將參與該領(lǐng)域是有道理的。事實上，LastPass為其密碼管理器和LastPass MFA使用相同的LastPass身份驗證器移動應(yīng)用程序，這是一件好事。LastPass MFA服務(wù)支持上述所有用例：虛擬專用網(wǎng)、Web應(yīng)用程序、桌面、本地應(yīng)用程序，并與AzureAD和Okta等常見身份管理平臺緊密集成。

(5) Okta Adaptive MFA

出于多種原因，Okta一直是身份驗證領(lǐng)域最熱門的解決方案之一，這主要是它在其工具組合中的強大功能。Okta Adaptive MFA從一個安全平臺開始，該平臺使用從先前攻擊中收集的數(shù)據(jù)(針對Okta服務(wù)和第三方威脅數(shù)據(jù)的攻擊)自動防止身份攻擊。Okta還可以利用威脅數(shù)據(jù)對合法身份驗證嘗試所涉及的風(fēng)險進行評分，以動態(tài)管理對更強大身份驗證因素的需求。

除了基于主動分析的防御之外，Okta還支持用戶簡化威脅報告，然后可以觸發(fā)向管理員發(fā)送通知或自動緩解措施。使用Okta作為多因素身份驗證服務(wù)還提供了廣泛的選擇和靈活性，以滿足身份驗證需求。

(6) RSA SecurID

RSA是多因素身份驗證領(lǐng)域的另一個行業(yè)先驅(qū)。帶有旋轉(zhuǎn)數(shù)字鍵的RSA硬件令牌是用于保護企業(yè)虛擬專用網(wǎng)和遠程訪問的原始多因素身份驗證解決方案之一。其悠久的歷史加上與Okta相媲美的安全產(chǎn)品組合，使RSA成為幫助企業(yè)對關(guān)鍵業(yè)務(wù)資源進行安全身份驗證的一個理想選擇。RSA SecurID不僅支持基于移動和硬件的身份驗證因素，它們還支持無縫身份驗證路徑，即使用戶沒有互聯(lián)網(wǎng)服務(wù)(例如在飛機上)。RSA還支持基于風(fēng)險的動態(tài)身份驗證策略，以平衡對額外安全性的需求和對最終用戶有效身份驗證過程的需求。

(7) Silverfort

Silverfort是一個人們之前可能沒有聽說過的名字，但他們的多因素身份驗證產(chǎn)品也是在必備清單上的。異常行為檢測、基于模式的威脅檢測和基于風(fēng)險評分的升級身份驗證因素只是Silverfort提供的一些功能。Silverfort提供能夠?qū)ΤＲ姷墓芾砉ぞ?如遠程PowerShell會話、遠程桌面和SSH)實施多因素身份驗證的功能。

(8) Twilio Authy

Twilio Authy是一項已經(jīng)存在了一段時間的服務(wù)，盡管并不總是在Twilio的保護傘下。正如對Twilio提供的身份驗證服務(wù)所期望的那樣，Twilio Authy的主要賣點是通過由大量文檔和社區(qū)支持的強大API實現(xiàn)的靈活性。Authy不同于這一列表中的其他一些即插即用解決方案，但如果企業(yè)需要一個高度靈活和可擴展的自定義業(yè)務(wù)應(yīng)用程序解決方案的話，它可能正是企業(yè)需要的服務(wù)。