虽然每个组织都有自己的具体要求，但有一些高层次的业务驱动因素在这些组织中经常是共通的：大多数行业都必须遵守与客户、患者或财务信息相关的隐私法。此外，政府机构也在不断完善其政策，要求使用 MFA 进行用户身份验证。现在，越来越多的专业人士在办公室外工作，他们或是在路上奔波，或是作为远程员工。使用 MFA 作为风险管理实践的一部分，或作为合规举措的一部分，涵盖受政府认证规定约束的信息（客户、患者、公民、人力资源等）。高级用户和他们所在的组织是在一个无处不在的互联世界中工作的，这意味着当他们的凭据被破解时，他们的雇主就会暴露出漏洞，这就迫使他们使用 MFA 来保护自己的账户。几乎每个人的口袋里都有一台联网电脑（智能手机），他们通过它来开展生活：社交媒体、消费者个性化内容和电子商务。由于客户希望通过自己的设备与企业进行数字互动，因此企业往往会采取积极的移动应用战略，这就需要 MFA 来管理风险。

Q: 哪些规定要求组织使用 MFA 才能合规？

MFA 现在是 PCI DSS v4.0 的一项基本要求：PCI DSS v4.0 对所有远程访问处理持卡人数据的系统都提出了要求。HIPAA - 保障受保护电子健康信息 (ePHI) 的安全。NIS2 和 DORA--要求对关键部门进行严格的访问控制。网络保险政策--大多数都规定 MFA 为承保范围。

概述

当您访问受保护资源时，您需要使用凭证信息对数据存储进行身份验证。它包括一个声称的身份和与之相关的秘密。传统上，只需使用简单的用户名和密码即可完成，这也是当今最常见的身份验证方法。遗憾的是，用户名/密码验证已被证明很容易受到网络钓鱼和凭证黑客的攻击。由于密码很难记忆，人们往往会选择一个简单的密码，然后在各种在线和云服务中重复使用。这意味着，当某一服务上的凭证被黑客入侵时，恶意的外部人员会在其他个人和专业数字服务上对其进行测试。

多因素身份验证（MFA）要求用户在访问应用程序、数据存储或专用网络等特定资源之前，提供两种或两种以上的验证方法，旨在防范上述威胁和其他类型的威胁。

因素 "一词描述了用于验证某人声称的身份的不同认证类型或方法。不同的方法是

你知道的东西，如密码、记忆的 PIN 码或挑战性问题
你所拥有的东西--虽然历史上是硬令牌，但现在更常见的是智能手机或安全 USB 密钥。
你是什么--常见的生物识别技术是指纹或面部识别；较少见的生物识别技术是声音或其他识别技术。

多因素认证

如何确定应为受保护资源配置多少个因子？

安全性和可用性要求决定了用于确认申请者身份要求的程序。多因素身份验证允许安全团队根据请求者（个人或程序流程）的背景或情况做出响应，取消访问是最常见的情况。除了确定需要多少种身份验证类型外，IT 部门还需要平衡可用性要求的成本和实施成本。

单因素身份验证（SFA）

SFA 一直是确保移动、在线及其他安全信息和设施访问安全的默认设置，现在仍然如此。用户名和密码是最常见的 SFA 类型，因为它无处不在且价格低廉。不过，为了避免各种网络钓鱼攻击带来的威胁，无密码技术的采用率正在不断提高。例如，大多数移动应用程序允许使用指纹或面部识别来代替传统的用户名和密码。

目前，包括微软、苹果和谷歌在内的所有主要平台供应商都提供无密码选项（如 FIDO2 和通行钥匙）。

由于身份验证令牌是用来验证身份的，因此需要防止外人进入。除了强大的令牌安全性外，它们通常被配置为相当频繁地过期，从而提高了刷新率。虽然在无密码界面下使用的短效令牌提高了安全性，但还达不到双因素身份验证的水平。

通行密钥或 WebAuthn 等现代无密码机制通常不属于简单的 SFA--它们是更强大的身份验证形式，通常结合了多种加密保证（你拥有的东西，有时是你的东西）。如果实施得当，真正的无密码本身就是一种强大的多因素或高级身份验证。

双因素身份验证 (2FA)

2FA 要求用户提供第二种类型（"知道"、"拥有"、"是"）进行身份验证，从而加强了安全性。一种身份证明可能是实物令牌，如身份证，另一种是记忆的东西，如挑战/响应、安全代码或密码。第二个因素大大提高了歹徒和其他外部行为者成功突破安全防护的门槛。

以下是常用的身份验证方法列表：

一次性密码--TOTP、HOTP、YubiKey 和其他 FIDO 兼容设备
其他带外语音呼叫、移动推送
PKI 证书
生物识别--指纹、人脸和语音识别
感应卡、移动应用程序地理围栏
您知道什么--密码、挑战性问题

三因素认证（3FA）

这种方法在双因素的基础上又增加了一个因素，使伪造一个声称的身份变得更加困难。典型的情况可能是在现有的用户名/密码和感应卡登录中加入生物识别技术。由于这种方法会增加明显的摩擦，因此应仅限于需要高度安全的情况。银行可能会发现在某些情况下使用 3FA 是有意义的，各种政府机构也是如此。机场或医院内的特定高控制区也是安全团队认为有必要使用 3FA 的区域。3FA 并不常见，而适应性 MFA（评估上下文风险）则是行业的主流方向。

MFA 通常用于何处？

尽管许多组织将用户验证视为事后考虑的问题，但值得注意的是，Verizon 的年度 DBIR 一直显示，凭证黑客是最主要的入侵策略。几乎每个组织都会遇到丢失敏感信息的事件，从而造成有形的经济损失和潜在的客户信任损失，这只是时间问题。

这些趋势之所以值得注意，是因为多因素身份验证从未像今天这样既方便又实惠。传统上，企业的 MFA 实施仅限于一小部分专门用户，这些用户处理的信息对企业构成较高风险。成本和可用性往往是阻碍更广泛部署强身份验证技术的限制因素。一直以来，购买、部署（包括用户注册）和管理强身份验证方法的成本都很高。但最近，各行各业、各组织本身、其客户（或病人、公民、合作伙伴等）以及他们可以使用的技术都发生了一系列翻天覆地的变化。

实施多因素身份验证的主要业务驱动力是什么？

虽然每个组织都有自己的具体要求，但有一些高层次的业务驱动因素往往是各组织共有的：

大多数行业都必须遵守与客户、病人或财务信息相关的隐私法。此外，政府机构也在不断完善政策，要求使用 MFA 进行用户身份验证。
与以往任何时候相比，现在越来越多的专业人士在办公室以外的地方工作，他们要么是 "公路战士"，要么是远程员工。使用 MFA 作为风险管理实践的一部分，或作为合规举措的一部分，涵盖受政府认证规定约束的信息（客户、患者、公民、人力资源等）。
高级用户和他们所在的组织是在一个无处不在的互联世界中工作的，这意味着当他们的凭据被破解时，他们的雇主就会暴露出漏洞，这就迫使他们使用 MFA 来保护自己的账户。
几乎每个人的口袋里都有一台联网电脑（智能手机），他们通过它来开展生活：社交媒体、消费者个性化内容和电子商务。由于客户希望通过自己的设备与企业进行数字互动，因此企业往往会采取积极的移动应用战略，这就需要 MFA 来管理风险。

哪些规定要求组织使用 MFA 才能合规？

MFA 现在已成为一项基本要求：

PCI DSS v4.0--适用于所有远程访问处理持卡人数据的系统。
HIPAA -保障受保护电子健康信息 (ePHI) 的安全。
NIS2和DORA--要求对关键部门进行严格的访问控制。
网络保险政策--大多数都规定 MFA 为承保范围。

有哪些方法可以减少 MFA 对用户体验的干扰？

IT 部门可以利用一些技术来减少 MFA 可能给用户带来的摩擦：

单点登录
对访问请求进行风险评估。
为用户匹配最佳身份验证类型。

单点登录（SSO）

SSO 只需用户进行一次交互，就能让用户对多个资源进行身份验证，这意味着用户只需输入一个凭据，其下的基础设施就能在会话期间代表用户对每个受保护的资源进行身份验证。最安全的 SSO 方法是让身份验证引擎为每个为 SSO 设置的资源使用一套唯一的凭证。这就将安全性提高到了一个很高的水平，因为

用户不知道资源的实际凭证，而只知道提供给身份验证网关的凭证。这就迫使用户使用身份验证网关，而不是直接访问资源。这也意味着每个资源都有一个独一无二的凭证。因此，如果其中一个身份存储空间被攻破，也不会危及其他存储空间。这种方法允许 IT 部门在对受保护资源进行系列身份验证的同时遵守 MFA 要求。
通过利用用户上下文，基于风险的 (RBA) 技术可用于仅在需要时调用 MFA。无论是为了遵守政府规定，还是为了执行组织的风险管理政策，RBA 都可用于减少向用户强加身份验证请求的情况。政策通常包括访问地点、设备和时间。

低摩擦认证选项

虽然传统的 OTP/TOTPs 仍将是最常见的第二因素身份验证类型，但也可能有其他更合理的选择。带外推送移动应用程序为 OTP 提供了一种低摩擦选项，因为用户只需点击接受按钮即可。在风险较高的情况下，一些推送应用程序可能会要求使用指纹来验证个人身份，以及确认信息（如桌面上显示的号码），以进一步验证用户同时拥有桌面和智能手机。

面部识别正迅速成为生物识别身份验证的首选。Windows Hello 的低摩擦性（随着时间的推移会越来越好）为用户提供了便捷的使用体验。最大的挑战是 Windows Hello 在各种光线条件下都无法正常工作。这种在不同光照下无法识别人脸的问题可以通过额外的面部注册来解决。最近，一些移动应用程序提供了在眼睛中登记虹膜图案的功能。生物识别身份验证选项（面部、指纹、虹膜）一起使用，提高了安全标准，外人难以攻破。对于正在寻找低摩擦方法来防范网络钓鱼攻击的组织来说，生物识别方法也是一个极佳的选择。

语音识别在金融服务领域越来越受欢迎。机构之所以喜欢它，是因为客户在与服务代表交谈时完全是被动的。客户身份核实后，代表将收到通知。对于经常难以记住正确回答的客户，他们使用语音识别来代替挑战性问题。在这种情况下，安全性和可用性都得到了优化。

当用户在多台设备上漫游时，FIDO/FIDO2 是很有吸引力的选择。FIDO 之所以成为一种有吸引力的身份验证选择，部分原因在于它得到了供应商的广泛支持，并注重可用性。FIDO 在那些有大量学生使用各种数字服务的大学中得到了显著的推广。FIDO 允许在不同设备和平台上实现无密码身份验证的可移植性。

智能手机手势分析是一种行为分析，它分析人与设备的物理交互方式。它采用启发式方法跟踪手势模式，并根据这些模式的一致性得出置信度分数。随着收集的数据越来越多，系统对识别用户的独特行为也越来越有信心，从而提高了手势轮廓的准确性或可信度。虽然手势特征分析最初还不足以作为身份验证的主要方法，但在与其他身份验证方法相结合时，它可以成为一个有用的补充因素。

OpenText 如何提供帮助

OpenText™ Advanced Authentication是我们企业级身份和访问管理产品组合的一部分。它可以灵活部署 MFA，包括

无密码和生物识别身份验证
基于风险和背景的访问决策。
跨混合云和多云环境的策略执行。
通过 API、SDK 和联盟协议（SAML、OAuth、OIDC）进行集成。

无论您是要确保内部用户、合作伙伴还是消费者的安全，OpenText 都能在企业规模内提供安全、合规和可扩展的身份验证。

OpenText Advanced Authentication 与其他 MFA 解决方案有何不同？

安全团队通常会实施他们所采用的身份验证所附带的辅助软件。在购买了需要不同软件实现的不同设备之前，这种方法似乎一直很有效，从而形成了另一个 "孤岛"。在大型企业中，有可能存在多个无密码技术孤岛，用于多因素身份验证或满足其他身份验证要求。这种情况的弱点在于，每个身份验证筒仓都有自己的一套策略。更新这些多重策略存储需要更高的管理开销，并带来策略不均衡的风险。

OpenText Advanced Authentication旨在满足最大型企业的多因素身份验证需求。其基于标准的方法提供了一种开放式架构，没有供应商锁定的风险。该框架支持各种设备和其他开箱即用的方法，也可随着新技术的推出而扩展。

无论平台（网络、移动、客户端）如何，OpenText Advanced Authentication 都能为最常见的平台和应用程序提供开箱即用的支持。除了作为企业范围内身份验证的中央策略引擎外，OpenText Advanced Authentication 还提供了一个基于风险的引擎，用于控制何时调用 MFA，以及控制在不同风险级别下提供哪些身份验证类型。除了自身的内置引擎外，OpenText Advanced Authentication 还与 OpenText Access Manager 集成，提供一套强大的单点登录选项和风险度量，可作为适应性访问管理用例的一部分。