儘管每個組織都有自己的具體需求，但有一些高層級的商業驅動因素經常在這些組織之間共通：大多數行業都必須遵守某種與客戶、病患或財務資訊相關的隱私權法律。此外，政府機構持續鞏固其政策，要求 MFA 用於使用者身份驗證。越來越多的專業人士在辦公室以外的地方工作，他們或是在路上奔波，或是擔任遠端員工。使用 MFA 作為其風險管理實務的一部分，或作為政府認證規定所涵蓋資訊 (客戶、病患、公民、人力資源等) 的合規措施的一部分。強大使用者和他們所屬的組織是在一個無孔不入的互聯世界中工作，這意味著當他們的憑證被盜用時，他們的雇主所暴露的弱點就是使用 MFA 保護他們帳戶安全的強大力量。幾乎每個人的口袋裡都有一台連網電腦（智慧型手機），用來處理他們的生活：社交媒體、消費者個人化內容和電子商務。由於客戶期望透過他們的裝置與企業進行數位互動，因此企業通常會採取積極的行動應用程式策略，而這需要 MFA 來管理其風險。

Q: 哪些規定要求組織使用 MFA 以符合規定？

MFA 現在是 PCI DSS v4.0 的基本要求：PCI DSS v4.0 適用於所有遠端存取處理持卡人資料的系統。HIPAA - 保護電子受保護健康資訊 (ePHI)。NIS2 和 DORA - 要求在關鍵部門實施強大的存取控制。網路保險政策 - 大多數強制 MFA 投保。

概述

當您存取受保護的資源時，您會使用憑證資訊針對資料儲存進行驗證。它由一個聲稱的身份和與之相關的秘密組成。傳統上，只需簡單的使用者名稱和密碼即可完成，這是目前最常見的驗證方法。不幸的是，使用者名稱/密碼驗證已經證明相當容易受到網路釣魚和憑證駭客的攻擊。由於密碼很難記住，人們傾向於選擇一個簡單的密碼，然後在各種線上和雲端服務中重覆使用。這表示當某項服務的憑證遭到駭客入侵時，惡意的外人會在其他個人和專業數位服務中測試該憑證。

多因素驗證 (MFA) 的設計目的在於防範這些及其他種類的威脅，方法是要求使用者提供兩種或以上的驗證方法，才能存取應用程式、資料儲存或私人網路等特定資源。

因子」一詞是指用來驗證某人所聲稱身份的不同驗證類型或方法。不同的方法有

您知道的東西，例如密碼、記住的 PIN 碼或挑戰問題
您擁有的東西 -歷史上是硬幣，現在則是智慧型手機或安全 USB 鑰匙。
您是什麼-常見的生物識別技術是指紋或臉部識別；較少見的生物識別技術是聲音或其他識別技術。

多因素認證

如何決定應該為受保護的資源設定多少個因素？

安全性和可用性要求決定了用來確認請求者身份聲明的流程。多因素驗證可讓安全團隊因應要求者 (個人或程式程序) 的情境或情況，移除存取權是最常見的情況。除了決定應該需要多少種驗證外，IT 還需要平衡可用性需求與實施成本。

單因素驗證 (SFA)

SFA 一直是並將繼續是確保行動、線上和其他安全資訊及設施存取安全的預設方式。由於 SFA 無處不在，而且價格低廉，因此最常見的 SFA 種類是使用者名稱和密碼。不過，為了避免各種網路釣魚攻擊所造成的威脅，無密碼技術的採用率仍在不斷增加。例如，大多數以行動為基礎的應用程式都允許使用指紋或臉部辨識來取代傳統的使用者名稱和密碼。

無密碼選項 (例如 FIDO2 和通行鑰匙) 目前可從所有主要平台供應商 (包括 Microsoft、Apple 和 Google) 取得。

由於驗證標記是用來驗證身分的，因此需要防止外人入侵。除了強大的令牌安全性之外，這些令牌通常會設定為相當頻繁的過期，以增加其更新率。雖然在無密碼介面下使用的短期代用幣可提高安全性，但卻無法達到雙重認證的水準。

通行鑰匙或 WebAuthn 等現代的無密碼機制通常不被歸類為簡單的 SFA--它們是更強大的驗證形式，通常結合多重加密保證（您擁有的東西，有時是您本身的東西）。如果執行得當，真正的無密碼本身也是一種強大的多因素或進階驗證方式。

雙因素驗證 (2FA)

2FA 要求使用者提供第二種類型 (知道、擁有、是) 以驗證身份，藉此加強安全性。一種身份證明可能是實體的標記，例如 ID 卡，另一種則是記憶的東西，例如挑戰/回應、安全代碼或密碼。第二個因素大幅提高了歹徒和其他外部人員成功突破安全防線的門檻。

以下是常用的驗證方法清單：

一次性密碼-TOTP、HOTP、YubiKey 及其他 FIDO 相容裝置
其他頻外語音通話、行動推送
PKI 憑證
生物識別 - 指紋、臉部、聲音識別
近程卡、行動應用程式地理圍籬
您所知道的 - 密碼、挑戰問題

三因素認證 (3FA)

此方法在雙重因素的基礎上增加了另一個因素，使偽造一個聲稱的身份變得更加困難。典型的情況可能是將生物辨識技術加入現有的使用者名稱/密碼加上近程卡登入。由於它會增加明顯的摩擦，因此應該保留給需要高度安全性的情況。銀行可能會發現在某些情況下 3FA 是合理的，各種政府機構也是如此。機場或醫院內的特定高管制區域也是安全團隊認為有必要使用 3FA 的區域。3FA 並不常見，而適應性 MFA (會評估情境風險) 則是業界的主流方向。

MFA 通常用於何處？

儘管許多企業將使用者驗證視為餘事，但必須注意的是，Verizon 的年度 DBIR 持續顯示認證駭客是最重要的入侵策略。幾乎每個組織都會發生敏感資訊遺失的事件，造成實質的財務損失和潛在的客戶信任損失，這只是時間問題。

這些趨勢之所以值得注意，是因為多因素認證從來沒有像今天這麼方便且價格合理。傳統上，組織一直將其 MFA 實作限制在一小部分專業使用者身上，這些使用者處理的資訊會對業務構成較高的風險。成本和可用性往往是妨礙更廣泛部署強大驗證技術的限制因素。過去，強大的驗證方法在購買、部署 (包括註冊使用者) 和管理上都相當昂貴。但最近，各行各業、組織本身、客戶（或病人、市民、合作夥伴等），以及他們可以使用的技術，都發生了翻天覆地的變化。

實施多因素認證的主要商業驅動力是什麼？

儘管每個組織都有自己的具體需求，但有一些高層級的業務驅動因素在這些組織之間經常是共通的：

大多數行業都必須遵守某種與客戶、病患或財務資訊有關的隱私權法律。此外，政府機構持續鞏固其政策，要求 MFA 用於使用者身份驗證。
越來越多的專業人士在辦公室以外的地方工作，他們或是在路上奔波，或是擔任遠端員工。使用 MFA 作為其風險管理實務的一部分，或作為政府認證規定所涵蓋資訊 (客戶、病患、公民、人力資源等) 的合規措施的一部分。
強大使用者和他們所屬的組織是在一個無孔不入的互聯世界中工作，這意味著當他們的憑證被盜用時，他們的雇主所暴露的弱點就是使用 MFA 保護他們帳戶安全的強大力量。
幾乎每個人的口袋裡都有一台連網電腦（智慧型手機），用來處理他們的生活：社交媒體、消費者個人化內容和電子商務。由於客戶期望透過他們的裝置與企業進行數位互動，因此企業通常會採取積極的行動應用程式策略，而這需要 MFA 來管理其風險。

哪些規定要求組織使用 MFA 以符合規定？

MFA 現在已經成為下列領域的基準要求：

PCI DSS v4.0-適用於所有遠端存取處理持卡人資料的系統。
HIPAA -保護電子受保護健康資訊 (ePHI)。
NIS2和DORA - 要求在關鍵部門實施強大的存取控制。
網路保險政策 - 大多數強制 MFA 投保。

有哪些方法可以降低 MFA 對使用者體驗的干擾？

IT 可以使用一些技術來減少 MFA 可能對使用者造成的摩擦：

單一登入。
存取請求的風險評估。
為使用者匹配最佳的驗證類型。

單一登入 (SSO)

SSO 允許使用者只需透過一次互動就能驗證多個資源，也就是說，使用者輸入單一憑證，其下的基礎架構就會在該會話中代表使用者驗證每個受保護的資源。SSO 最安全的方法是認證引擎為每個為 SSO 設定的資源使用一組唯一的憑證。這將安全性提升到一個很高的層級，因為：

使用者不知道資源的實際憑證，而只知道提供給驗證閘道的憑證。這會強制使用者使用驗證閘道，而不是直接前往資源。這也代表每個資源都有獨一無二的憑證。因此，如果其中一個的身份儲存被攻破，也不會危及其他的身份儲存。此方法可讓 IT 遵守 MFA 要求，同時對受保護資源執行序列驗證。
透過利用使用者情境，以風險為基礎 (RBA) 的技術可在需要時才啟用 MFA。無論是為了遵守政府規定或強制執行組織的風險管理政策，RBA 都可以用來減少強加給使用者的驗證要求。政策通常是存取地點、裝置和時間的組合。

低摩擦認證選項

雖然傳統的 OTPs/TOTPs 仍會是最常見的第二因素驗證方式，但也可能有其他更符合情況的選項。頻外推送行動應用程式提供 OTP 的低摩擦選項，因為使用者只需按下接受按鈕即可。針對較高風險的情況，某些推送應用程式可能會設定為需要指紋來驗證個人身份，以及確認資訊 (例如在桌上型電腦上呈現的號碼)，以進一步驗證使用者同時擁有桌上型電腦和智慧型手機。

臉部辨識迅速成為生物辨識認證的首選。Windows Hello 的低摩擦性，注意到它會隨著時間變得更好，提供了便利的使用者體驗。最大的挑戰是 Windows Hello 在各種光線環境下都無法運作良好。這種在不同光照下無法辨識人臉的問題，可以透過額外的臉部登錄來處理。最近，一些行動應用程式提供了在眼睛中登錄人類虹膜圖案的功能。生物辨識認證選項同時使用（臉部、指紋、虹膜），可提高安全門檻，讓外人無所適從。對於正在尋找低摩擦方式來防範網路釣魚攻擊的組織而言，生物辨識方法也是極佳的選擇。

語音辨識在金融服務領域已逐漸普及。機構喜歡它，因為客戶與服務代表交談時，完全是被動的。客戶身份驗證完成後，代表會收到通知。他們使用語音辨識來取代客戶的挑戰性問題，因為客戶經常難以記住對問題的正確回答。在這種情況下，安全性和可用性都得到了優化。

FIDO/FIDO2 對於使用者在多部裝置之間漫遊時是很有吸引力的選項。FIDO 之所以能成為一個具吸引力的驗證選擇，部分原因在於其廣泛的廠商支援，以及對可用性的重視。FIDO 在使用各種數位服務的學生眾多的大學獲得了顯著的發展。FIDO 允許無密碼認證在不同設備和平台之間的可攜性。

智慧型手機手勢分析是一種行為分析，可分析人體與裝置互動的方式。它使用啟發式方法追蹤手勢中的模式，並根據這些模式的一致性產生信心分數。隨著收集的資料越多，系統就越有信心識別使用者的獨特行為，從而提高手勢輪廓的準確性或可信度。手勢紋理雖然一開始還不夠強大，無法作為身分驗證的主要方法，但當與其他驗證方法結合時，就能成為有用的輔助因素。

OpenText 如何提供協助

OpenText™ Advanced Authentication是我們企業級身份和存取管理產品組合的一部分。它可以靈活部署 MFA，包括

無密碼和生物辨識驗證。
基於風險與情境的存取決策。
跨混合與多雲端環境的政策強制執行。
透過 API、SDK 和聯盟協定 (SAML、OAuth、OIDC) 進行整合。

無論您要保護內部使用者、合作夥伴或消費者的安全，OpenText 都能以企業規模提供安全、合規且可擴充的驗證服務。

OpenText Advanced Authentication 與其他 MFA 解決方案有何不同？

安全團隊通常會執行他們採用的驗證所附帶的支援軟體。這似乎運作良好，直到購買了需要不同軟體實作的不同裝置，形成另一個孤島。在大型組織中，可能會有多個無密碼技術的孤島，用於多因素驗證或滿足其他驗證需求。這種情況的缺點是每個認證筒倉都有自己的一套政策。保持這些多重政策儲存庫的更新需要較高的管理費用，並帶來政策不均勻的風險。

OpenText Advanced Authentication 旨在滿足最大型組織的多因素驗證需求。其基於標準的方法提供了一個開放式架構，避免了鎖定供應商的風險。此架構支援各種裝置和其他開箱即用的方法，但也可以隨著新技術的上市而擴充。

不論是何種平台 (網頁、行動裝置、用戶端)，OpenText Advanced Authentication 也能為最常見的平台和應用程式提供開箱即用的支援。OpenText Advanced Authentication 除了作為全企業驗證的中央政策引擎外，還提供以風險為基礎的引擎，以控制何時啟用 MFA，以及在不同風險等級下提供哪些驗證類型。除了本身的內建引擎之外，OpenText Advanced Authentication 還與 OpenText Access Manager 整合，提供一套強大的單一登入選項和風險指標，可作為適應性存取管理使用個案的一部分。