什么是多因素认证（MFA）-阿里云开发者社区

MFA 即多因素认证，是一种身份验证方法。它在用户名和密码等凭证基础上增加了额外的安全层，从而在授予用户访问应用程序、在线账户或企业网络的权限之前，更能确保用户的身份与他们所声称的一致。

MFA 是身份和访问管理（IAM）的关键组成部分，有助于降低账户接管攻击、个人数据泄露以及后续凭证填充攻击等风险。在本文中，我们将介绍现代 MFA 是如何实现这一点的，探讨现有的各种多因素认证类型，并展望 MFA 技术的未来发展。

多因素认证如何工作？
多因素认证通过要求用户提供不同类型的信息或 “因素” 来验证身份，以获得对账户或应用程序的访问权限。这些因素通常分为三类：知识因素（你知道的东西）、占有因素（你拥有的东西）和固有因素（你本身的特征）。由于不同因素的安全级别不同，你可以使用自适应 MFA 解决方案来制定策略，确定在何种情境下使用何种因素。

让我们以混合办公模式（包括现场办公和远程办公的员工）为例来说明其工作原理。当员工在办公室登录应用程序时，他们的移动设备可能会收到一条推送通知，要求他们批准或拒绝访问请求。

然而，当用户从不同地点登录时，他们可能需要提供另一种更安全的因素，如指纹扫描。在某些情况下，对于拥有更高访问权限的用户（如高管），也可能会使用固有因素来确认其身份，以确保组织最敏感的数据得到保护。

多因素认证的类型
以下是每种 MFA 因素类型的一些示例及其有效性的简要概述：

基于知识的因素包括个人识别码（PIN）、密码或安全问题的答案。由于这些信息容易丢失、被猜测，且经常会被黑客通过钓鱼和社会工程学攻击窃取，因此它们提供的保障级别最低。
基于占有物的因素包括密钥卡、移动电话和信用卡等物理令牌。由于这些物品存储或接收登录凭证，因此它们比基于知识的因素更安全。例如，短信认证会向用户的移动设备发送一个 MFA 代码或一次性密码（OTP）。但是，由于设备也可能丢失或被盗，并且容易受到中间人攻击等威胁，所以它们只能提供中等程度的保障。
固有（或生物特征）因素提供最高级别的保障，因为它们是每个用户所独有的，比如指纹、面部特征、声音特征和行为举止。用户无需记住或存储这些因素，这使其成为多因素认证中最安全的选择。
单因素认证 vs 双因素认证 vs 多因素认证
借助现代 MFA 解决方案，组织可以选择向用户要求任意数量的因素，这意味着他们可以部署单因素认证、双因素认证（2FA）或其他类型的多因素认证。

这些各种各样的 MFA 选项展示了多年来认证方式的稳步发展。例如，单因素认证曾经是标准方式，但当仅依靠用户名和密码被证明风险过高时，双因素认证便应运而生。

从那以后，认证方式不断发展，如今组织可以对双因素认证和多因素认证进行比较。正是这种发展，使得我们如今有如此多的因素以及额外的身份验证方法可供选择。

让我们快速了解一下在线验证身份的不同方式。

多因素认证方法
以下每种方法都能让多因素认证更加牢固，为网络、系统和应用程序增加更强大的安全层：

基于位置的认证利用设备的互联网协议（IP）地址和地理位置来允许或阻止对应用程序或系统的访问。在 MFA 过程中（即除了输入 PIN 或 OTP 之外），可以对这些位置信息进行评估，以确认用户的身份。
基于风险的认证，也称为自适应认证或自适应 MFA，根据用户的位置、设备和网络等上下文信息来确定要求提供哪些认证因素。这种方法非常适合在安全要求和无缝用户体验之间取得平衡。
无密码认证则更进一步。绝大多数安全漏洞都是由凭证问题引起的，例如使用弱密码或在多个账户中重复使用登录信息。无密码认证通过将 FIDO2.0/WebAuthn 等高保障因素与位置、风险、行为和设备状态等登录上下文相结合，消除了这种风险。
为什么使用多因素认证？
多因素认证对组织和终端用户都有益处，因为它增加了黑客窃取数据的难度。即使不良分子设法窃取了登录凭证，MFA 也能阻止他们未经授权访问账户。

多因素认证对组织的好处
组织可以通过要求用户使用 MFA 保护其账户来确保机密数据的安全。例如，黑客可能会利用社会工程学手段窃取用户的登录凭证，进而危害企业资源。但是，实施更严格的验证方法，如多因素认证，可以提高安全性，让攻击者无法获取敏感信息。

MFA 还有助于组织满足日益严格的数据隐私法规，如《加州消费者隐私法》（CCPA）、《通用数据保护条例》（GDPR）以及美国国家标准与技术研究院（NIST）的相关规定。此外，当与单点登录（SSO）和 API 访问管理等其他安全层结合使用时，MFA 能帮助组织采用零信任安全模型。

多因素认证对个人的好处
如果使用得当，MFA 会让 IT 和安全团队、员工以及客户都感到更便捷。

MFA 不仅能保护企业的整个网络，无论人们在何时何地访问企业系统，还能让用户的认证过程更加顺畅（同时不会给安全团队增加负担）。例如，MFA 减少了账户被锁定和繁琐的密码重置情况。这意味着因无法访问账户而感到沮丧的用户会减少，同时服务台的工单和不堪重负的 IT 团队也会减少。

随着员工队伍日益远程化，以及客户期望获得无缝的数字体验，引入能够处理更复杂访问请求的高级多因素认证解决方案变得至关重要。例如，自适应 MFA 会评估每个登录请求的风险，并要求用户根据具体情况提供最合适的认证因素。这确保了在 “安全” 的环境中，用户可以无缝登录，不会给他们的用户体验带来任何麻烦。

多因素认证的未来是什么？
关于多因素认证的未来，我们预计其方法将不断发展。目标是让用户的身份验证更便捷，同时为组织提供更高的安全性。这就是为什么生物特征因素和无密码实践越来越普及，此外还有以下进展：

人工智能和机器学习：组织可以利用人工智能和机器学习来识别被视为 “正常” 的访问请求和行为。这种验证确保除非识别出异常行为，否则不需要额外的认证因素。
快速身份在线（FIDO）联盟：FIDO 联盟是一个行业联盟，致力于开发免费和开放的认证标准。最近，FIDO 2.0 标准引入了在线服务和网络浏览器实现无密码 MFA 选项的功能。该联盟旨在让所有人都能使用无密码 MFA 方法，并减少对密码和基于知识的认证因素的依赖。这是认证领域的一大进步，因为它用快速、安全的应用程序和网站访问体验取代了用户凭证。
如何选择 MFA 提供商？
在选择 MFA 解决方案时，有很多需要考虑的因素。最重要的是，它需要满足你的组织和用户当前的需求，并能支持你的业务在未来发展。

优秀的 MFA 提供商能够帮助你满足安全要求，同时为内部和外部用户提供无摩擦、愉悦的体验。同时，MFA 解决方案应该易于整合到组织各团队发起的各种项目中。最终，它应该有助于这些团队优先考虑产品上市速度，并减轻开发人员的负担。

基于云的 MFA 解决方案通常比传统的 MFA 解决方案更受青睐，因为它们具有以下优势：