多因素认证
本文约需 2 分钟阅读
多因素认证 (MFA: Multi-Factor Authentication) 是指在认证时组合两个或两个以上不同要素来进行身份验证的方式。通过从知识要素 (密码)、持有要素 (智能手机、安全密钥)、生物要素 (指纹、人脸) 这三个类别中组合多个要素,能够大幅强化安全性。根据 Microsoft 2024 年的调查,启用 MFA 的账户可以防止 99.9% 以上的非法访问,截至 2025 年这一趋势依然没有改变。 Google 和 Apple 也在各自的服务中推进默认启用 MFA。
现场使用案例
“在全公司范围内强制实施 MFA 后,通过钓鱼邮件进行的非法登录较上一年减少了 98%。尤其是引入了 FIDO2 安全密钥的管理员账户,在引入后的一年内非法访问为零起。”
认证要素的比较
| 认证方式 | 要素类别 | 抗钓鱼能力 | 便利性 |
|---|---|---|---|
| SMS 认证 | 持有 | 低 (易受 SIM 卡交换攻击) | 高 |
| TOTP 应用 | 持有 | 中 | 中 |
| FIDO2 密钥 | 持有 | 高 (具有来源验证) | 中 |
| 生物认证 | 生物 | 高 | 高 |
认证的三要素与实务中的选择
知识要素证明的是密码或 PIN 等「你所知道的事」,持有要素证明的是智能手机或硬件令牌等「你所拥有的物」,生物要素证明的是指纹或人脸等「你本人」。在实务中,由于 SMS 认证易受 SIM 卡交换攻击,因此更推荐 TOTP 应用 (Google Authenticator 、 Authy) 或 FIDO2 安全密钥 (YubiKey)。尤其是金融机构和管理员账户,应当选择 TOTP 或硬件密钥。多因素认证入门书 (Amazon)可供系统性学习。
与两步验证 (2FA) 的区别
两步验证 (2FA) 指的是「分两个步骤进行认证」,而 MFA 指的是「用两个或两个以上不同的要素进行认证」。例如,输入密码后再要求回答密保问题的方式是两个步骤,但二者都是知识要素,因此不能称为 MFA。密码 + TOTP 验证码的组合属于知识要素 + 持有要素,所以既是两步验证,同时也是 MFA。从安全的角度来看,组合不同类别的要素比步骤数量更为重要。
MFA 的引入与运营要点
将足够长度的随机密码 (知识要素) 与 TOTP 应用或安全密钥 (持有要素) 相结合,即可实现稳固的多因素认证。引入时的注意事项是,妥善保管恢复码不可或缺。为应对设备丢失或故障,请务必设置备用的认证方式。在企业环境中,将 MFA 与密码策略一起在全公司范围内强制实施,并向员工普及两步验证设置指南,会非常有效。账户安全相关书籍 (Amazon)也可作为参考。
这篇文章对您有帮助吗?