跳转到主要内容

多因素认证

本文约需 2 分钟阅读

多因素认证 (MFA: Multi-Factor Authentication) 是指在认证时组合两个或两个以上不同要素来进行身份验证的方式。通过从知识要素 (密码)、持有要素 (智能手机、安全密钥)、生物要素 (指纹、人脸) 这三个类别中组合多个要素,能够大幅强化安全性。根据 Microsoft 2024 年的调查,启用 MFA 的账户可以防止 99.9% 以上的非法访问,截至 2025 年这一趋势依然没有改变。 Google 和 Apple 也在各自的服务中推进默认启用 MFA。

现场使用案例

“在全公司范围内强制实施 MFA 后,通过钓鱼邮件进行的非法登录较上一年减少了 98%。尤其是引入了 FIDO2 安全密钥的管理员账户,在引入后的一年内非法访问为零起。”

认证要素的比较

认证方式要素类别抗钓鱼能力便利性
SMS 认证持有低 (易受 SIM 卡交换攻击)
TOTP 应用持有
FIDO2 密钥持有高 (具有来源验证)
生物认证生物

认证的三要素与实务中的选择

知识要素证明的是密码或 PIN 等「你所知道的事」,持有要素证明的是智能手机或硬件令牌等「你所拥有的物」,生物要素证明的是指纹或人脸等「你本人」。在实务中,由于 SMS 认证易受 SIM 卡交换攻击,因此更推荐 TOTP 应用 (Google Authenticator 、 Authy) 或 FIDO2 安全密钥 (YubiKey)。尤其是金融机构和管理员账户,应当选择 TOTP 或硬件密钥。多因素认证入门书 (Amazon)可供系统性学习。

与两步验证 (2FA) 的区别

两步验证 (2FA) 指的是「分两个步骤进行认证」,而 MFA 指的是「用两个或两个以上不同的要素进行认证」。例如,输入密码后再要求回答密保问题的方式是两个步骤,但二者都是知识要素,因此不能称为 MFA。密码 + TOTP 验证码的组合属于知识要素 + 持有要素,所以既是两步验证,同时也是 MFA。从安全的角度来看,组合不同类别的要素比步骤数量更为重要。

MFA 的引入与运营要点

将足够长度的随机密码 (知识要素) 与 TOTP 应用或安全密钥 (持有要素) 相结合,即可实现稳固的多因素认证。引入时的注意事项是,妥善保管恢复码不可或缺。为应对设备丢失或故障,请务必设置备用的认证方式。在企业环境中,将 MFA 与密码策略一起在全公司范围内强制实施,并向员工普及两步验证设置指南,会非常有效。账户安全相关书籍 (Amazon)也可作为参考。

相关术语

这篇文章对您有帮助吗?

XHatena