设置多重身份验证时需要问的三个问题 媒体

多因素认证MFA设置指南

重点摘要

多因素认证MFA已成为认证和访问安全的黄金标准。研究表明，通过实施强有力的MFA策略，组织能够预防高达90的网络攻击。然而，并不是所有的认证方法都同样有效。以下是您需要提出的三个关键问题，以确保所有用户都能安全、流畅地访问系统：

组织的安全级别是什么？

没有“一刀切”的解决方案可以保护数据。单个密码可能足以访问社交媒体账户，但保护银行信息则需要更强的方法。数据的敏感性越高，系统越关键，所需的认证流程就越严格。

一般而言，认证方法有三种：您所知道的东西如密码，您所拥有的东西如设备，或您所代表的东西如生物识别。尽管密码在互联网上仍然是最常见的认证手段，但它们也有明显的安全缺陷。据《Verizon数据泄露调查报告》显示，81的黑客相关泄露事件都源于密码问题。弱密码、网络钓鱼、密码破解程序都是黑客获得非法访问权限的简易方式。物理认证方法如硬件令牌或设备认证更难被破解，但用户可能会遗失或放错位置。生物识别是识别个人的最安全方式，因为使用的生理测量无法被共享、盗取或遗失。然而，不同形式的生物识别也有所不同。

在不同生物识别认证样式中的重要区分在于生物识别数据的注册地点和注册权限。苹果的Touch ID是当前较为常见的生物识别方法。在这个系统中，设备的所有者可以注册自己的生物识别信息，这些信息会保存在设备本地，并且可以选择注册其他用户。但对于组织而言，这并不是保护数据的最安全方法，因为生物识别数据保存在设备上，组织无法区分设备与使用者之间的关系。如果另一个用户在设备上注册，组织仍然只能看到经过认证的设备，而无法识别实际获得访问权限的人。

集中式或身份绑定生物识别IBB方法通过将生物识别模板存储在组织中来解决这一问题。这使组织能够保证访问系统的人的身份，通过比较生物识别扫描与存档模板，从而进行个人认证，而不只是设备。此种方法避免了将不明身份的人注册的风险，消除了威胁者自行注册或恶意内部人员将他人注册到经过认证设备的可能性。

MFA解决方案易于使用吗？

始终需要考虑用户体验。大家都容易忘记密码，许多人为了方便而在多个平台上使用相同的密码，这降低了密码作为安全控制的有效性。此外，认证发生在各种情况下，有些用户可能没有手机或难以管理硬件令牌。了解用户进行认证时的多种情况可以帮助确定他们可以使用的方法。

例如，许多MFA方法需要如智能手机这样的设备，而这对于许多用户来说并不适用。一次性密码OTP会向用户发送一条包含单次使用代码的短信，但这仅在用户处于手机信号范围内并携带手机时有效。在某些受限环境中，如制造生产线或银行柜台，由于安全考虑，手机的使用可能受到限制。在MFA系统中提供多样的选择将确保更大的灵活性，增强用户在独特场景下的认证能力。

相比于传统方法，生物识别在不牺牲安全性的情况下提供了一种独特的便利。利用生物识别技术，用户无需记住密码或设备，这是一种无法共享、盗取或遗失的认证方式。同时，越来越多的证据表明，用户更倾向于使用生物识别技术，VISA报告显示有86的消费者希望使用生物识别来进行身份识别或支付。

MFA解决方案的成本是多少？

尽管安全性和方便性在建立MFA时是最重要的考虑因素，但组织在决策上不能忽视成本。设置密码的费用低廉，但寻找下一个MFA解决方案则需考虑更大的成本。基于手机的方法，如发送到手机的OTP，成本也相对较低，但雇主可能需要考虑要求员工在工作时