什么是 MFA(多重身份验证)?
多重身份验证(MFA)是多步骤的账户登录过程,它要求用户输入更多信息,而不仅仅是输入密码。例如,除了密码之外,用户可能需要输入发送到其电子邮件的代码,回答一个秘密问题,或者扫描指纹。如果系统密码遭到泄露,第二种形式的身份验证有助于防止未经授权的账户访问。
为什么有必要进行多重身份验证?
数字安全在当今世界至关重要,因为企业和用户都在网上存储敏感信息。每个人都使用在线账户与存储在互联网上的应用程序、服务和数据进行交互。这些在线信息的泄露或滥用可能会在现实世界中造成严重后果,例如财务盗窃、业务中断和隐私泄露。
虽然密码可以保护数字资产,但仅仅有密码是不够的。专家级网络犯罪分子试图主动寻找密码。通过发现一个密码,就有可能获得对您可能重复使用该密码的多个账户的访问权限。多重身份验证作为额外的安全层,即使密码被盗,也可以防止未经授权的用户访问这些账户。企业使用多重身份验证来验证用户身份,并为授权用户提供快速便捷的访问。
多重身份验证的优点是什么?
降低安全风险
多重身份验证可以最大限度地降低因人为失误、密码放错位置和设备丢失而带来的风险。
支持数字计划
组织可以满怀信心地实施数字计划。企业使用多重身份验证来帮助保护组织和用户数据,以便他们可以安全地进行在线交互和交易。
提高安全响应
公司可以配置多重身份验证系统,以便在检测到可疑登录尝试时主动发送警报。这有助于公司和个人更快地应对网络攻击,从而最大限度地减少任何潜在的损害。
多重身份验证如何工作?
多重身份验证的工作原理是在注册账户时向用户请求多种形式的 ID。系统存储该 ID 和用户信息,以便在下次登录时验证用户。登录是一个多步骤的过程,需要验证其他 ID 信息和密码。
我们在下面描述了多重身份验证过程中的步骤:
注册
用户使用用户名和密码创建账户。然后,他们将其他项目,例如手机设备或物理硬件遥控钥匙,链接到他们的账户。项目也可能是虚拟的,例如电子邮件地址、手机号码或身份验证应用程序代码。所有这些项目都有助于唯一识别用户,不应与其他人共享。
身份验证
当启用 MFA 的用户登录网站时,系统将提示他们输入用户名和密码(第一安全要素 – 用户已知),以及来自其 MFA 设备的身份验证代码(第二安全要素 – 用户已有)。
如果系统验证密码,它将连接到其他项目。例如,它可以向硬件设备签发数字代码,或者通过短信向用户的移动设备发送代码。
反应
用户通过验证其他项目来完成身份验证过程。例如,他们可以输入他们收到的代码或按下硬件设备上的按钮。只有在所有其他信息都通过验证后,用户才能访问系统。
过程的实施
多重身份验证可能以不同的方式实施。下面是一些示例:
- 系统只要求输入密码和另一个 ID,称为双重身份验证或两步身份验证。
- 一个名为身份验证器的第三方应用程序代替系统来验证用户的身份。用户将密码输入身份验证器,身份验证器向系统确认用户。
- 在验证过程中,用户通过扫描指纹、视网膜或其他身体部位来输入生物信息。
- 仅当您在新设备上第一次访问系统时,系统可能会请求多重身份验证。之后,它会记住机器,只要求您输入密码。
什么是自适应多重身份验证?
自适应多重身份验证或自适应 MFA 使用业务规则和用户信息来确定应该应用哪些身份验证要素。企业使用自适应身份验证来平衡安全要求和用户体验。
例如,自适应身份验证解决方案可以通过使用上下文用户信息来动态增加或减少用户身份验证步骤,例如:
- 失败登录的尝试次数
- 用户的地理位置
- 地理速度或连续登录尝试之间的物理距离
- 用于登录的设备
- 尝试登录的日期和时间
- 操作系统
- 源 IP 地址
- 用户角色
人工智能如何改进多重身份验证?
自适应身份验证解决方案使用人工智能(AI)和机器学习(ML)来分析趋势并识别系统访问中的可疑活动。这些解决方案可以随时监控用户活动,以识别模式、建立基准用户配置文件并检测异常行为,例如以下行为:
- 在异常时间的登录尝试
- 来自异常位置的登录尝试
- 来自未知设备的登录尝试
ML 算法为可疑事件分配风险分值,并根据业务策略实时调整多重身份验证要素。例如,如果行为被归类为低风险,用户可以只使用用户名和密码登录。另一方面,用户必须为中等风险行为输入短信验证码,如果该行为是高风险的,则完全拒绝用户访问。
多重身份验证的示例有哪些?
我们在下面给出了一些企业如何使用多重身份验证的示例:
员工远程访问
一家公司希望为其员工提供远程资源访问权限。它可以在员工带回家的公司发放的笔记本电脑上设置多重身份验证,要求使用硬件遥控钥匙和指纹扫描登录。根据员工的 IP 地址,公司可以设置员工在家工作时需要使用双重身份验证的规则。但是,当员工在任何其他 Wifi 网络上工作时,公司可能会要求进行三重身份验证。
仅限现场员工访问系统
一家医院希望让所有员工都能访问其医疗应用程序和患者数据。医院会给员工发放一个感应徽章,以便他们在工作时访问这些应用程序。在每个班次开始时,员工必须登录并点击中心系统的徽章。在轮班期间,他们只需轻按徽章即可访问所有资源,无需更多登录要求。轮班结束时,单击访问权限结束。这可以最大限度降低因徽章丢失而导致未经授权访问的风险。
多重身份验证的方法有哪些?
MFA 身份验证方法基于您知道的东西、您拥有的东西和/或您是谁。我们在下面描述了一些常见的身份验证要素:
知识要素
在知识要素法中,用户必须通过披露其他人不知道的信息来证明自己的身份。这种身份验证要素的一个典型例子是只有用户知道答案的秘密问题,例如他们第一只宠物的名字或他们母亲的娘家姓氏。应用程序也可以请求访问四位 PIN 码。
只有当没有其他人发现秘密信息时,这些方法才是安全的。犯罪分子可能会调查用户的个人历史或欺骗他们透露这些信息。PIN 码也可以用暴力破解法破解,这种方法可以猜出所有可能的四位数字组合。
持有要素
在持有要素法中,用户通过他们唯一拥有的东西来识别自己。下面是一些示例:
- 物理设备,例如手机、安全令牌、显示卡、硬件遥控钥匙和安全密钥。
- 电子邮件账户和身份验证器应用程序等数字资产
系统将密码作为数字消息发送到这些设备或资产,然后用户将密码重新输入系统。如果设备丢失或被盗,账户可能会受到威胁。一些安全令牌通过直接连接到系统来避免这个问题,这样它们就不能被数字访问。
固有要素
固有法使用用户固有的信息。以下是此类身份验证要素的几个示例:
- 指纹扫描
- 视网膜扫描
- 语音识别
- 面部识别
- 类似于击键力学的行为生物识别
在注册过程中,应用程序必须收集并存储这些信息和密码。管理应用程序的企业必须保护生物特征和密码。
设置多重身份验证的最佳实践是什么?
所有企业都应该建立企业范围的策略来限制访问和保护数字资源。以下是访问管理的一些最佳实践:
创建用户角色
您可以通过将用户按角色分组来微调访问控制策略。例如,您可以授予特权管理员用户比最终用户更多的访问权限。
创建强密码策略
即使您有三重或四重身份验证,仍然应该实施强密码策略。您可以实施规则来创建由大小写字母、特殊字符和数字组合而成的密码。
轮换安全凭证
让您的用户定期更改密码是一个很好的做法。您可以通过让系统在密码被更改之前拒绝访问来自动执行此过程。
遵循最低权限策略
总是以系统中最低级别的权限和访问权限启动新用户。您可以通过手动授权来增加权限,也可以随着用户通过经验证的凭证建立信任而逐渐增加权限。
什么是 AWS Identity?
您可以使用 AWS Identity 服务安全地批量管理身份、资源和权限。例如,AWS Identity 服务可以:
- 让您的人力资源部门选择在何处管理员工的身份和凭证,并提供精细权限,以便将正确的访问权限适时授予正确的人员。
- 开发人员有更多时间为您的客户构建出色的应用程序,让他们能够快速、轻松地为您的 Web 和移动应用程序添加用户注册、登录和访问控制。
例如,对于面向客户的应用程序,Amazon Cognito 可以帮助您为应用程序创建简单、安全、可扩展且基于标准的注册和登录客户体验。Amazon Cognito 支持多重身份验证功能以及静态和动态数据加密。Amazon Cognito 可以帮助您满足多种安全性与合规性要求,包括医疗保健公司和企业等受高度管制的组织的相关要求。
此外,AWS Identity and Access Management(IAM)提供涵盖整个 AWS 的精细访问控制。使用 IAM,您可以指定谁以及在哪些条件下可以访问哪些服务和资源。使用 IAM 策略,您可以管理对员工和系统的权限,确保实现最小权限。
多重身份验证(MFA)是一项 AWS IAM 功能,它能够在用户名称和密码之外再额外增加一层保护。启用 MFA 后,当用户登录 AWS 管理控制台时,系统提示他们输入用户名和密码(第一安全要素 – 用户已知),以及来自其 AWS MFA 设备的身份验证代码(第二安全要素 – 用户已有)。这些多重要素结合起来将为您的 AWS 账户设置和资源提供更高的安全保护。
