什麼是 MFA (多重要素驗證)?
多重要素驗證 (MFA) 是一種要求使用者除了輸入密碼以外還要輸入更多資訊的多步驟帳戶登入程序。舉例來說,除了輸入密碼之外,使用者可能也會被要求輸入傳送到他們電子郵件的驗證碼,回答秘密問題,或是掃描指紋。第二種形式的驗證可以在系統密碼遭到盜用的情況下,協助預防未經授權的帳戶存取。
為什麼需要多重要素驗證?
數位安全在當今世界至關重要,因為企業和使用者都在線上儲存敏感資訊。每個人都使用線上帳戶與應用程式、服務及存放在網際網路上的資料互動。違反或濫用此線上資訊可能會產生嚴重的實際後果,例如金融盜竊、業務中斷和隱私權喪失。
雖然密碼可保護數位資產,但還不夠。專業的網路罪犯試圖主動尋找密碼。透過發現一個密碼,可能會取得對可能重複使用該密碼之多個帳戶的存取權限。多重要素驗證可作為額外的安全層,防止未經授權的使用者存取這些帳戶,即使密碼被盜也能提供防護。企業使用多重要素驗證來驗證使用者身分,並為授權使用者提供快速且便捷的存取方式。
多重要素驗證有哪些優勢?
降低安全風險
多重要素驗證可最大限度地降低因人為錯誤、密碼錯放和裝置遺失而導致的風險。
啟用數位計畫
組織可以充滿信心地開展數位計畫。企業使用多重要素驗證,來協助保護組織和使用者資料,以便其安全地進行線上互動和交易。
改善安全回應
公司可以設定多重要素驗證系統,以便在偵測到可疑登入嘗試時主動傳送提醒。這有助於公司和個人更快地回應網路攻擊,從而最大限度地減少任何潛在的損害。
多重要素驗證如何運作?
多重要素驗證透過在帳戶註冊時,向使用者請求多種形式的 ID 來運作。系統存放此 ID 和使用者資訊,以在使用者下次登入時驗證。登入是一個多步驟程序,可驗證其他 ID 資訊和密碼。
我們在下面介紹了多重要素驗證程序中的步驟:
註冊
使用者透過使用者名稱和密碼建立帳戶。然後,他們將其他項目 (如手機或實體硬體金鑰卡) 連結至其帳戶。該項目也可能是虛擬的,例如電子郵件地址、手機號碼或驗證器應用程式的程式碼。所有這些項目均有助於唯一識別使用者,不得與他人共用。
身分驗證
當啟用 MFA 的使用者登入網站時,系統會提示他們提供使用者名稱和密碼 (第一重關卡 – 他們知道的資訊),以及來自其 MFA 裝置的身分驗證回應 (第二重關卡 – 他們擁有的資訊)。
系統驗證密碼時,會將其連線至其他項目。例如,可能會向硬體裝置發出一個數字代碼,或透過簡訊向使用者的行動裝置傳送一個代碼。
回應
使用者透過驗證其他項目來完成身分驗證程序。例如,他們可能會輸入收到的代碼,或按下硬體裝置上的按鈕。只有在驗證所有其他資訊後,使用者才能存取系統。
程序的實作
多重要素驗證可能會以不同的方式實作。以下是一些範例:
- 系統僅要求輸入密碼和另一個 ID,稱為雙重要素驗證或兩步身分驗證。
- 稱為驗證器的第三方應用程式,而非系統,來對使用者的身分進行驗證。使用者將密碼輸入認證器,而認證器則向系統確認使用者。
- 在驗證期間,使用者透過掃描指紋、視網膜或其他身體部位,來輸入生物特徵資訊。
- 只有在新裝置上首次存取系統時,系統才會要求進行多重身分驗證。之後,它會記住機器並僅詢問您的密碼。
什麼是自適應多重要素驗證?
自適應多重要素驗證或自適應 MFA 使用業務規則以及有關使用者的資訊,來確定應套用哪些身分驗證要素。企業使用自適應身分驗證,來平衡安全要求和使用者體驗。
例如,自適應身分驗證解決方案可使用如下所示關聯使用者資訊,來動態地增加或減少使用者身分驗證步驟:
- 失敗的登入嘗試次數
- 使用者的地理位置
- 地理位置速度或連續登入嘗試之間的物理距離
- 正在用於登入的裝置
- 登入嘗試的日期和時間
- 作業系統
- 來源 IP 地址
- 使用者角色
人工智慧如何改善多重要素驗證?
自適應身分驗證解決方案使用人工智慧 (AI) 和機器學習 (ML) 來分析趨勢,並識別系統存取中的可疑活動。這些解決方案可隨時間的推移監控使用者活動,以識別模式、建立基準使用者設定檔並偵測異常行為,如以下操作:
- 在不尋常的時間嘗試登入
- 來自異常位置的登入嘗試
- 來自未知裝置的登入嘗試
機器學習演算法為可疑事件指派風險評分,並根據業務政策來即時調整多個身分驗證要素。例如,如果行為被歸類為低風險,則使用者只需透過使用者名稱和密碼即可登入。另一方面,針對中等風險行為,使用者必須輸入簡訊代碼,如果行為為高風險,則使用者將被完全拒絕存取。
多重要素驗證的範例有哪些?
下面提供了一些企業如何使用多重要素驗證的範例:
遠端存取員工
一間公司希望為其員工提供遠端資源存取權。可在員工帶回家的、公司發放的筆記型電腦上設定多重要素驗證,需要登入、硬體金鑰卡和指紋掃描。根據員工的 IP 地址,公司可以設定員工在家辦公時需要使用雙重要素驗證的規則。但是,當員工在任何其他 wifi 網路上工作時,公司可能需要三重要素驗證。
僅對現場員工開放系統存取權
一間醫院希望向其所有員工提供對健康應用程式和患者資料的存取權。醫院為員工提供近接識別證,以便其工作時存取這些應用程式。在每個輪班開始時,員工必須登入並將識別證輕按中央系統。在輪班期間,他們只需輕按一下識別證即可存取所有資源,而無需更多登入要求。在輪班結束時,輕按存取權則結束。這可最大限度地降低因遺失識別證而導致未經授權存取的風險。
多重要素驗證方法有哪些?
MFA 身分驗證方法以您所知、擁有及/或您的身分為基礎。下面介紹了一些常見的身分驗證要素:
知識要素
在知識要素方法中,使用者必須輸入其他人不知道的資訊來證明自己的身分。這種身分驗證要素的一個典型範例是,只有使用者知道答案的機密問題,如他們的第一隻寵物名字或他們母親的姓氏。應用程式還可以要求存取四位 Pin 碼。
這些方法只有在沒有其他人發現機密資訊的情況下才是安全的。罪犯可能會調查使用者的個人歷史,或誘騙其洩露這些資訊。也可以使用暴力破解方法,猜測每個可能的四位數字組合來破解 Pin 碼。
擁有要素
在擁有要素方法中,使用者透過其唯一擁有的東西來識別身分。以下是一些範例:
- 實體裝置,如手機、安全字符、顯示卡、硬體金鑰卡和安全金鑰。
- 電子郵件帳戶和驗證器應用程式等數位資產
系統將密碼作為數位訊息傳送至這些裝置或資產,然後使用者將其重新輸入系統。如果裝置遺失或被盜,該帳戶可能會受到侵害。某些安全字符透過直接連線至系統來規避此問題,這樣就無法透過數位方式存取。
固有要素
固有要素方法利用使用者所固有的資訊。以下是此類身分驗證要素的一些範例:
- 指紋掃描
- 視網膜掃描
- 語音識別
- 臉部辨識
- 行為生物特徵,如擊鍵動力學
應用程式必須在註冊期間收集和存放此資訊及密碼。管理應用程式的企業必須保護生物特徵和密碼。
設定多重要素驗證的最佳實務是什麼?
所有企業都應制定企業級政策來限制存取和保護數位資源。以下是存取管理中的一些最佳實務:
建立使用者角色
您可以將使用者分組為角色來微調存取控制政策。例如,可以授予特權管理員使用者比最終使用者更多的存取權。
建立強密碼政策
即使您採用三重要素或四重要素驗證,仍應強制執行強密碼政策。您可以實作規則以建立包含大小寫、特殊字元和數字的密碼。
輪換安全憑證
要求使用者定期變更密碼是一種很好的做法。您可以讓系統在變更密碼之前拒絕存取,來自動化此程序。
遵循最低權限政策
始終以系統中最低級別的權限和存取權來啟動新使用者。隨著使用者透過驗證憑證建立信任,您可以手動授權或逐漸增加權限。
什麼是 AWS Identity?
您可以使用 AWS Identity Services 安全地大規模管理身分、資源和許可。例如,憑藉該服務:
- 人力部門可以選擇要在哪裡管理員工身分和憑證,以及選擇更精細的許可,以便在適當時間授與適當人員適當的存取權。
- 開發人員可以更輕鬆快速地在您的 Web 和行動應用程式新增使用者註冊、登入和存取控制,讓其有更多時間為客戶建立更優質的應用程式。
例如,針對面向客戶的應用程式,Amazon Cognito 可協助您為應用程式建立簡易、安全、可擴展且標準的註冊和登入客戶體驗。Amazon Cognito 支援多重驗證以及靜態資料和傳輸中資料的加密。Amazon Cognito 協助您符合多項安全與合規要求,包含醫療保健公司和商店等高度管制組織。
此外,AWS Identity and Access Management (IAM) 提供跨所有 AWS 的精密存取控制。藉助 IAM,您可以指定誰可以存取哪些服務和資源,以及在何等條件下可以存取。憑藉 IAM 政策,您可以管理員工和對系統的許可,以確保履行最低權限原則。
多重要素驗證 (MFA) 是一項 AWS IAM 功能,可在使用者名稱和密碼之外再增加一層保護。啟用 MFA 後,當使用者登入 AWS 管理主控台時,它會提示輸入使用者名稱和密碼 (第一重關卡 – 他們知道的資訊),以及來自其 AWS MFA 裝置的身分驗證代碼 (第二重關卡 – 他們擁有的資訊)。這多個要素共同為您的 AWS 帳戶設定和資源提供更高的安全保護。