什么是多因素认证（MFA）？

多重身份验证 (MFA) 是一种安全流程，要求用户经过多步身份验证，才能获得系统或应用程序的访问权限或完成交易。 

与其他身份验证实践不同，MFA 通过要求额外的信息增加了第二层安全保护。 

这当然会使欺诈者难以访问，即使他们拥有密码。

SaaS 公司在处理敏感信息时应认真考虑实施 MFA，因为这会增强安全性和隐私性。 

MFA 在验证身份时侧重于特定数据类别：

• 知识因素： 用户知晓的信息，例如密码或 PIN 码。

• 拥有因素： 用户持有的物品，例如智能手机、硬件令牌或身份验证器应用程序。

• 固有因素： 生物特征，包括指纹、面部识别或语音模式。

• 位置或上下文因素： 信号，例如地理位置、IP地址或网络信誉。

在验证过程中结合多种因素将提高安全性。

MFA具有以下优势： 

• 更强的账户保护： 仅凭被泄露的密码不足以进行访问。

• 降低泄露风险： 微软报告称，MFA可以阻止超过99%的账户泄露攻击。

• 改进的访问控制： 多因素认证强制实行跨用户和系统的一致性、策略驱动型身份验证。

• 降低业务影响： 防止因泄露造成的财务损失、停机时间和声誉损害。

• 降低对密码的依赖： 减少因密码重用和撞库攻击而面临的风险。
  

虽然多因素认证可能会带来轻微的使用不便和实施成本，但对于大多数组织而言，其安全收益通常会超过这些不利因素。

密码在许多多因素认证（MFA）流程中仍然是第一步验证。弱密码或重复使用的密码会增加被黑客攻击和遭受社会工程攻击的风险，尤其是在MFA疲劳的情况下，用户会被网络犯罪分子诱导批准登录请求。

一个强大、独一无二的密码首先能降低被入侵的几率，并增强多因素认证（MFA）的有效性。 

在企业环境中，MFA 的工作原理如下：

1. 用户输入其用户名和密码。
2. 系统会考虑设备、位置和行为等相关上下文。
3. 系统要求用户提供第二重身份验证因素，例如来自身份验证器应用的验证码、生物识别扫描或硬件令牌。 
4. 只有在成功验证后才授予访问权限。

SaaS组织还需要考虑在主设备被入侵或无法使用的情况下，增加一种额外的身份验证方法。

MFA系统通常利用各种方法识别新的或未知的设备，包括：

• 设备指纹识别
• IP分析
• 位置历史记录
• 活动监控。 

正是这些方法在登录尝试使用新位置或异常设备时会触发警报。这些做法对于设备多样性高的远程和云应用非常有用。

自适应MFA依赖风险评估来建立更高或更低的 身份验证 级别。有许多信号可以触发更高水平的验证，例如：

• 异常位置
• 不可能的移动
• 异常行为或网络
• 可疑网络。 

低风险情况可以顺畅进行，而高风险情况则需要更多因素或被阻止。这种做法提供了更好的安全性，并消除了普通用户不必要的MFA请求。

是的。MFA的强度取决于所使用的标准。 

• 基于短信的代码提供最低级别的保护，并且容易受到SIM卡交换攻击。
• 身份验证器应用程序和硬件 令牌 提供更高水平的保障
• 生物识别因素（由 3D安全) 只要它们得到妥善实施，就能提供最高级别的安全性。 

SaaS 组织应根据数据或受保护系统的敏感性，考虑多因素身份验证 (MFA) 的强度，兼顾安全要求和用户体验。