多因子认证

了解多因子认证如何增强安全性、满足合规性要求并支持零信任安全策略

展示移动通信、数据和介质的女性员工的等距图
什么是多因子认证?

多因子认证 (MFA) 是一种身份验证方法,要求用户提供密码和至少一个认证因子或者至少提供两个认证因子(代替密码),才能访问网站、应用程序或网络 .

由于破解多个认证因子比单独破解密码需要花费更多的精力,并且破解其他类型的因子比窃取或伪造密码更难,因此与单因子(用户名和密码)认证相比,MFA 可以更好地保护组织免受未经授权的访问。

MFA 已成为许多组织的身份和访问管理策略的基本组成部分。 在许多行业和政府机构中,它通常是强制性或推荐的认证方法。 大多数员工或互联网用户都遇到过 MFA 的一种子类型,即双因子认证 (2FA),这种认证要求用户提供密码和第二个因子(  通常是发送到手机或电子邮件的验证码  )才能登录到系统或网站。 但是,任何使用银行卡和个人密码 (PIN) 访问 ATM 的人都使用过一种形式的 MFA。


认证因子类型

MFA 会从两个层面上迷惑黑客。 从最基本的层面上讲,破解两个或更多个因子比破解一个因子要更困难一些。 但是,任何 MFA 方案的强度最终取决于它要求用户提供的认证因子类型。

知识因子:用户知道的信息

知识因子是理论上只有用户才知道的信息,例如密码、PIN 和安全问题的答案。 知识因子既是使用最广泛的认证因子类型,也是最容易受到攻击的认证因子类型。 黑客可以通过以下方式获取密码和其他知识因子:网络钓鱼攻击;在用户设备上安装击键记录器或间谍软件;或者运行脚本或机器人来生成和测试潜在密码,直至找到适用的密码。

破解其他知识因子的难度并不大。 对用户有所了解或在社交媒体上进行过一些研究的黑客完全可以破解某些安全问题的答案。 其他因子可能相对容易被猜到。 根据 IBM 的 2021 年数据泄露成本调研报告显示,泄露的凭证是 2021 年最常被利用的初始攻击途径。

一个很常见的误解是,需要两个知识因子(例如密码和安全问题的答案)才能构成 MFA。 需要第二个知识因子的目的是提供额外的保护,但真正的 MFA 需要使用两种或更多种的因子。

占有因子:用户拥有的东西

占有因子是用户随身携带的物理对象,例如,授权访问物理锁的 fob 或 ID 卡、安装了身份验证器应用程序的移动设备或包含认证信息的智能卡。

许多 MFA 实施都使用了一种称为“电话即令牌”的方法,在这种方法中,用户的手机由于可以接收或生成所需信息而成为占有因子。 如上所述,MFA 通常通过短信、电子邮件或电话向个人手机发送一次性验证码 (OTP)。 但是,OTP 也可以由特殊的移动应用程序(称为身份验证器应用程序)生成。 此外,有些认证系统会发送推送通知,用户只需点击一下即可确认其身份。

其他 MFA 解决方案系统则是使用物理令牌或专用硬件安全密钥。 有些物理令牌是通过插入到计算机 USB 端口来将认证信息传输到登录页面。 其他物理令牌则是生成 OTP 以供用户输入。

与知识因子相比,占有因子具有多项优势。 恶意行为者需要在登录时拥有该因子才能冒充用户。 由于它们在与应用程序 (IP) 不同的网络 (SMS) 上运行,因此黑客需要拦截两个不同的通信渠道来窃取凭证。 即使黑客可以获取 OTP,他们也必须在 OTP 过期之前获取并使用它,并且不能重复使用。   

但是,也存在一些风险。 由于物理令牌是物体(通常是小物体),所以它们可能会被盗、丢失或放错地方。  虽然 OTP 比传统密码更难窃取,但它们仍然容易受到复杂的网络钓鱼或中间人攻击,或者受到“SIM 克隆”攻击(在这种攻击中,恶意行为者创建受害者智能手机 SIM 卡的功能副本)。

固有因子:用户作为人所独有的特征

固有因子(也称为生物特征)是用户独有的物理特征。  一个人的指纹、声音、面部特征或虹膜和视网膜图案都是固有因子的示例。 如今,许多移动设备都可以使用指纹或面部识别来解锁;而一些计算机可以使用指纹将密码输入到网站或应用程序中。

固有因子是最难破解的因子。 它们不会被遗忘、丢失或放错地方,而且非常难以复制。

但这并不意味着它们是万无一失的。 如果将固有因子存储在数据库中,那么它们就可能会被窃取。 例如,在 2019 年,一个包含 100 万用户指纹的生物特征数据库遭到了攻击。 从理论上讲,黑客可以窃取这些指纹,也可以将他们自己的指纹与数据库中另一个用户的个人资料链接在一起。

当生物特征数据遭到攻击时,无法快速或轻松地对这些数据进行更改,因此受害者难以阻止正在进行的攻击。

行为因子:用户所做的事情

行为因子是根据行为模式验证用户身份的数字工件。 IP 地址范围或用户通常用于登录应用程序的位置数据都是行为因子的示例。

行为认证解决方案使用人工智能来确定用户正常行为模式的基线,然后标记异常活动,例如使用新的设备、电话号码、网络浏览器或位置进行登录。 它们也常用于自适应认证(也称为“基于风险的认证”)方案,在这种方案中,认证要求因风险而异 - 例如当用户尝试从不受信任的设备进行登录时、尝试首次访问应用程序时,或尝试访问特别敏感的数据时。

虽然行为因子可以提供复杂的用户认证方式,但它们需要大量资源和专业知识才能进行部署。 此外,如果黑客获得对可信设备的访问权限,他们可以将其用作认证因子。


无密码 MFA

由于泄露的知识因子是网络安全漏洞中最常见的初始攻击途径,因此许多组织都在探索无密码认证。 无密码认证依靠占有因子、固有因子和行为因子来验证身份。 无密码认证降低了网络钓鱼攻击和凭证填充攻击的风险,在这些攻击中,黑客使用从一个系统窃取的凭证来访问另一个系统。

虽然无密码认证去掉了身份验证链中最薄弱的环节,但它仍然容易受到占有因子、固有因子和行为因子漏洞的影响。 组织通过实施一种方法让用户必须提供多种类型的非知识因子认证凭证,可以缓解这些漏洞。 例如,让用户提供指纹和物理令牌便可以构成无密码 MFA。


MFA 和合规性

为了应对日益增多的网络攻击,政府和政府机构已开始要求对处理敏感数据的系统使用 MFA。 2020 年,美国国税局 (IRS) 强制要求网上报税系统提供商使用 MFA。 美国总统约瑟夫·拜登关于改善国家网络安全的 2021 年行政命令要求所有联邦机构都必须使用 MFA。 后续备忘录要求国家安全部门、国防部和情报机构的所有系统在 2022 年 8 月 18 日之前都实施 MFA。

一些行业法规(包括支付卡行业数据安全标准 (PCI-DSS))特别要求对处理信用卡和支付卡数据的系统使用 MFA。 许多其他法规(包括萨班斯法案 (SOX) 和 HIPAA)也强烈建议将 MFA 作为确保合规性的关键。 多年来,一些州级法规已强制要求使用 MFA。 未能遵守纽约金融服务部 (NYDFS) 2017 年网络安全法规 23 NYCRR 500 的 MFA 规定的公司将面临高达 300 万美元的罚款 (链接位于 ibm.com 外部)


MFA 和单点登录

单点登录 (SSO) 是一种认证方法,允许用户通过一组登录凭证访问多个相关的应用程序和服务。 用户只需登录一次,SSO 解决方案就会对其身份进行认证并生成会话认证令牌。 此令牌将充当各种互连应用程序和数据库的用户安全密钥。

为了降低多个应用程序依赖于同一组登录凭证的风险,组织通常需要对 SSO 使用自适应认证。 自适应 SSO 将自适应认证的功能应用于 SSO 方案。 如果用户在尝试通过 SSO 登录时或在其 SSO 认证会话期间表现出异常行为,则会要求他们提供额外的认证因子。 异常行为的示例可能包括通过无法识别的 VPN 进行连接或者访问用户会话认证令牌未涵盖的应用程序或数据。

零信任网络安全架构,在这种架构中,从不信任用户的身份,并且总是会验证用户的身份,通常使用自适应 SSO 和 MFA 的组合来进行认证。 通过在整个会话期间不断验证用户的身份并根据风险要求提供额外的认证因子,自适应 SSO 和 MFA 在不影响用户体验的情况下加强了访问管理。


相关解决方案

身份和访问管理 (IAM)

利用 IBM Security® Verify IAM 解决方案,将每个用户与正确的访问级别关联在一起。


SSO

集中控制云和本地应用程序的访问权限。


高级认证

使用无密码认证或多因子认证选项来超越基本认证。


自适应访问

通过基于风险的 AI 辅助式认证和 IBM Security Verify 来保护用户和资产。


云 IAM 解决方案

将云 IAM 与有关基于风险的认证的深度上下文相融合,实现少摩擦的安全访问。


IBM Security Verify Trust

为 IAM 系统注入风险信心,使用 IBM Security Verify Trust 软件提供更智能的认证。


零信任解决方案

了解围绕每个用户、每个设备和每个连接的安全解决方案。


移动设备管理 (MDM) 解决方案

为终端和用户提供可见性、管理和安全性