什么是自适应多重身份验证（自适应 MFA）？

想象一下：一个阳光明媚的秋日清晨，您决定不在办公室的工作站工作，而是前往市中心刚开业的咖啡馆远程办公。您点好咖啡，拿出笔记本电脑，开始登录企业仪表板。系统会立即识别出您正在使用新的 Wi-Fi 网络以及之前从未注册过的设备。系统并不会直接显示“访问被拒”，而是根据上下文提示您进行指纹扫描。

在这种情况下，由于风险高于正常水平，因此需要增设额外的安全防护层。这种无缝“按需”防护就是自适应多重身份验证 (A-MFA) 的核心。这一基于风险的身份验证是增强安全状况的明智方案，同时又不会牺牲便利性。

根据 IBM 发布的“2025 年数据泄露成本报告”，平均泄露成本为 440 万美元。仅此一点就足以说明为何组织不能对所有用户实施相同的基本防御措施。随着网络钓鱼攻击（此类攻击通常由人工智能 (AI) 引发）日益增多，MFA 解决方案应成为安全管理的基本要求。幸运的是，A-MFA 设有多种实施方案，例如 Auth0 和 Duo。本文将介绍自适应 MFA 如何实时评估风险。我们还将探讨实际用例，助您掌握基础认知，以判断其在安全管理框架中的定位。

截至目前，我们大多数人都曾体验过多重身份验证 (MFA)。MFA 要求您使用其他身份验证方法证明自己的身份，以便为您的帐户增设额外的安全防护要求。与单点登录 (SSO) 和双重身份验证 (2FA) 一样，MFA 属于身份和访问管理 (IAM) 的身份验证环节。与仅依赖密码的传统方法不同，您通常需要两个或多个因素才能登录。这些因素可分为三大类别：

1. 您掌握的信息，如密码或安全问题的答案。
   
   
2. 您拥有的物品，如智能手机、安全令牌或实体钥匙（USB 驱动器中的 Yubi 密钥）。
   
   
3. 您的生物特征——具体指的是指纹或面部扫描信息的生物识别数据。

例如，系统可能会要求您输入密码（即“您掌握的信息”），然后向您的手机（即“您拥有的物品”）发送短信验证码，或者扫描您的指纹（即“您的生物特征”）。通过整合这些因素，MFA 就能提高未授权用户访问账户的难度，即使您的密码已遭泄露。现在，将这种方法与一套系统（即仅在感知到更高安全风险时才应用额外安全措施的系统）相结合，您就掌握了自适应 MFA 的精髓。

您可以将自适应 MFA 视为传统 MFA 的进阶升级版。这一防护措施由 Abhijit Kumar Nag 和 Dipankar Dasgupta 发明，比传统 MFA 更进一步。它采用来自用户日常模式的背景信息，评估与特定登录尝试相关的风险级别。如果特定用户登录尝试的风险级别高于预定阈值，则将视为触发事件。

自适应 MFA 允许系统管理员根据多个因素（包括用户角色和企业资产）对触发条件进行排序。沿用上文所举的例子，当您从咖啡馆登录企业仪表板时。如果您以前从未去过这家咖啡馆，系统可能会将其视为触发事件。不过，如果您经常在同一时段前往咖啡馆，系统很可能不会将其视为触发事件。或者，如果有人次日在地球另一端使用您的凭据在异常时间尝试访问企业仪表板，系统几乎必然会发出警告。这一演示展示了自适应 MFA 的真谛：了解特定用户的行为模式，仅在出现可疑或异常情况时才采取额外措施以保障安全。下一节，我们将探讨传统 MFA 功能及其与自适应 MFA 的区别。

自适应 MFA 与传统 MFA 极为相似，但前者增设部分高级功能，可以在不影响可用性的情况下确保敏感数据的安全。接下来，我们将介绍自适应 MFA 的步骤及其运作原理。

用户尝试通过输入用户名和密码或通行密钥登录系统（例如，企业仪表板、应用程序等）。系统开始根据其存储的凭据验证上述凭据。

这就是自适应 MFA 与传统 MFA 的区别所在。传统 MFA 仅要求第二重身份验证，而自适应 MFA 会分析风险级别，然后确定针对该风险的相应身份验证级别。

它会先收集当前登录或访问请求的数据，并将其与以前登录或访问请求的数据进行比对。此类数据包括：

• 位置：该区域是用户常用的地理位置，还是不同城市甚至不同国家/地区的地理位置？
  
  
• 设备或设备类型：此设备是公司设备还是个人所有的设备？此设备是常用登录设备，还是新设备？用户通常使用笔记本电脑登录，但此次尝试通过手机登录？
  
  
• 登录时段：此次登录是否在该员工通常登录的时段内，还是处于异常时段？
  
  
• 用户行为：在综合考虑上述因素后，用户试图访问什么内容？
  
  
• 网络：该网络是企业、私有还是公共 IP 的组成部分？
  
  
• 历史数据：该用户所有过往的登录信息均已存储，并与当前登录尝试进行比对。

风险评分系统会对结果进行权衡，并为本次登录尝试分配相应的风险等级。例如，在非工作时段使用来自其他国家或地区的新设备，通过未识别的 IP 地址登录，系统可能会为其分配高风险等级。

风险评分会输出特定于上下文的身份验证响应。这可能包括：

• 标准 MFA 触发因素（低风险）：这可能是通过推送通知或身份验证器应用程序（如 Google 身份验证器或 Microsoft Authenticator）发送到用户移动设备的一次性密码 (OTP)。
  
  
• 增强型 MFA 触发因素（中风险）：在此情况下，系统可能会应用更严格的方法进行身份验证，例如生物识别（面部或指纹扫描）、安全问题或基于知识的身份验证（有关特定用户历史记录的问题）。
  
  
• 立即阻止并发出警报（高风险）：在高风险情况下，系统可能会立即阻止登录尝试并通知组织的安全管理部门。

A-MFA 系统会持续监控每个用户的活动和行为，以便有效识别特定时间段内的异常情况。越来越多的 A-MFA 系统开始应用机器学习算法，从用户历史登录或访问尝试中学习。系统处理的登录尝试越多，就越擅长识别有效请求和可疑行为。

组织应用自适应 MFA 的部分原因如下：

• 为系统管理员提供更高级别的控制权：A-MFA 系统允许管理员根据资产的敏感度和/或尝试访问资产的人员角色来增减身份验证要求的数量。
  
  
• 在不牺牲安全性的情况下实现最佳可用性：A-MFA 允许其身份验证要求具有流动性，从而使安全性与实际情况相匹配，并且不会影响用户体验。
  
  
• 增强整体弹性：采用 A-MFA 作为零信任安全管理方案的一部分，可以立即增强安全性，并显著降低因网络钓鱼等攻击导致数据泄露的风险。