什么是MFA?
多因子认证MFA(Multi Factor Authentication)是一种安全认证过程,需要用户提供两种及以上不同类型的认证因子来表明自己的身份,包括密码、指纹、短信验证码、智能卡、生物识别等多种因素组合,从而提高用户账户的安全性和可靠性。
为什么需要MFA?
随着全球数字化改革潮流,通过计算机网络交流、购物、办公等模式已逐渐代替原有的传统模式。与此同时,计算机与信息犯罪在近年正在呈现出上升的趋势,攻击手段日趋复杂,安全问题导致的经济损失也越来越大。企业信息、个人信息和网络设备安全问题至关重要。
故有必要对进入应用程序、服务、网络设备系统的人员进行认证。而单一的验证方式防御较为薄弱,存在一定风险,比如密码会存在“暴力破解”、“撞库”、钓鱼邮件等攻击风险。钥匙、门卡面临丢失、被盗的可能。而生物特征,一旦遭遇信息泄漏,则面临更大的威胁。多因子认证的需求越来越迫切。
最常见而简单的访问控制方法是通过MFA身份认证方式确认用户的真实性,提高用户账户的安全性和可靠性。
身份认证因子有哪些分类?
- 秘密信息因子,包含密码、个人身份识别码 (PIN) 、安全问题验证。
- 物品因子,分为软件令牌和硬件令牌。
- 软件令牌,包含短信验证码,电子邮件验证链接、验证码,服务商提供的身份验证二维码(例如微信扫码认证)。
- 硬件令牌,包含身份证、驾驶证、护照、密钥卡、硬件加密锁等专用物品作为安全密钥使用 。
- 生物特征因子,包含指纹、语音、面部特征、虹膜、视网膜图案、DNA、个人手写签名、击键特征和语言模式等行为生物识别特征。
- 位置因子,包含特定位置、特定设备、特定IP范围。
- 时间因子,特定的时间段。
如果多个身份认证方式为一种身份认证因子类型,此认证方式为单因子认证,而不是多因子认证。例如用户密码+安全问题验证、身份证+短信验证码+电子邮件验证链接等,均为单因子认证。
多因子认证必须是两种及以上不同类型的认证因子,来实现用户身份认证。
MFA认证流程是什么?
- 用户登录应用程序。
- 用户输入登录凭证,通常是账号和密码,做初始身份验证。
- 验证成功后,然后将提示用户提交第二个身份验证因子。
- 用户将第二个身份验证因子输入至应用程序,做二次身份验证。
- 如果系统只设置了两种因子认证,第二个身份验证因子通过,用户将通过身份验证并被授予对应的系统操作权限。如果系统设置了三种及以上种因子认证,用户需按系统提示,继续提交身份信息,直至全部身份因子验证通过,并被授予对应的系统操作权限。
MFA的典型应用有哪些?
- 秘密信息因子+物品因子:公司员工通过VPN远程登录办公系统,采用用户密码+短信验证码的认证方式场景。邮箱、社交软件登录系统,采用用户密码+图片文字识别的认证方式场景。
- 秘密信息因子+物品因子:网络游戏、网络购物、手机APP等支付系统,采用用户密码+短信验证码/扫描二维码的认证方式场景。
- 秘密信息因子+位置因子:电子邮箱、电子社交软件登录系统,采用用户密码+特定IP范围的认证方式场景。
- 秘密信息因子+时间因子:各手机APP优惠券兑换系统,采用用户密码+特定时间的认证方式场景。
- 物品因子+生物特征因子:火车站、机场验票系统,采用有效证件(如身份证、护照)+面部识别认证方式场景。
- 物品因子+位置因子+生物特征因子:某些公司上下班打卡系统,采用智能手机+特定位置范围+人脸识别的认证方式场景。
MFA的优缺点有哪些?
MFA的优点
MFA的首要优点就是安全性。在如今数字时代中,服务商和企业已成为网络攻击的首要目标。攻击者依靠窃取身份凭证侵入企业内网,最终很可能会造成重大损失。 为解决这一问题,MFA要求用户提供登录名和密码之外的其他身份验证因素,在攻击者和企业网络之间又增加了一道安全屏障。
除用户同时泄露登录密码和多因子认证凭证的场景,即使攻击者窃取了登录密码也无法接管账号。基于设备的多因子认证几乎可以阻止所有针对账号的攻击。
除了提升安全性以外,MFA的另一项关键优势是广泛适用性。随着智能手机的广泛使用,服务商和企业可以借助智能手机定位、面部识别等在系统和应用程序中强制执行多因子认证,甚至还可以对连接企业内网的VPN强制执行多因子认证保护网络访问。
MFA的缺点
多因子认证也存在不少缺点导致企业放弃采用。首先就是对办公效率的担忧。在传统的静态密码登录机制下,员工每月在账号登录上花费一定的时间。采用MFA后,终端用户不仅需要输入密码,还需要输入额外的身份验证因素,导致账号登录的时间加倍。除此之外,很多MFA形式基于时间型动态令牌(TOTP),令牌有效时间有限。一旦令牌失效,用户还需要等待新的令牌生成,这也影响了员工工作效率。
MFA的另一个问题是实施的复杂性。为了让MFA应用于所有资源,在整个企业范围内推行,管理员需要一个MFA工具涵盖所有IT资源。
MFA还存在安装、维护成本高的问题,包含购买、更换令牌和续订软件的维护成本。例如,如果企业或个人丢失或被盗取MFA中的其中一个或多个认证因子,就需要挂失、重新申请、设置新的认证因子。不管从企业和个人,还是系统维护方来看,均带来了维护成本。如果要保护系统、网络等本地基础架构,还需要另外部署MFA工具。这就增加了企业的 IT 安全预算和运维成本。
然而,即使认识到这些缺点,如果企业希望保护网络、用户和员工,作为访问管理战略的一部分实施MFA解决方案的优点显然大于缺点。
MFA与2FA的区别是什么?
参数项 |
MFA与2FA的区别 |
|---|---|
认证因子个数 |
MFA≥2FA,MFA需要两种及以上不同类型的认证因子,2FA需要两种不同类型的认证因子。 |
安全性 |
MFA≥2FA,MFA要求用户提交更多类型的认证因子,提高用户账户的安全性和可靠性。 |
用户数量 |
MFA≤2FA,2FA一般应用在大众日常工作、生活中,三种及以上不同类型的认证因子的MFA一般应用在科研、军事等特殊行业人员中。 |
用户体验 |
MFA≤2FA,多一种类型认证因子,操作过程中就多一个认证步骤和等待时间,从而导致用户体验感下降。 |
安装、维护成本 |
MFA≥2FA,多一种类型认证因子就会相应增加网络设备、软件系统复杂程度、以及后期的维护成本。 |
保密信息级别 |
MFA≥2FA,三种及以上不同类型认证因子的MFA保护的是高精尖级别的科研、军事等机密、绝密信息和成果。 |
可参考上述2FA和MFA的区别,按实际使用场景和网络情况选择合适的用户身份验证方式,来确保数据和系统的安全性和可操作性。
华为防火墙常用的认证方式
- 本地认证:访问者通过Portal认证页面将标识其身份的用户名和密码发送给防火墙,防火墙上存储了密码,验证过程在防火墙上进行。
- 服务器认证:访问者通过Portal认证页面将标识其身份的用户名和密码发送给防火墙,防火墙上没有存储密码,防火墙将用户名和密码发送至第三方认证服务器,验证过程在认证服务器上进行。
- 单点登录(Single Sign-On):访问者将标识其身份的用户名和密码发送给第三方认证服务器,认证通过后,第三方认证服务器将访问者的身份信息发送给登录设备。登录设备只记录访问者的身份信息不参与认证过程。
更多产品介绍请参见:HUAWEI USG6000E 用户与认证配置指南。
- 作者: 张林翠
- 最近更新: 2023-10-25
- 浏览次数: 6867
- 平均得分:
