多重身份驗證 (MFA) 的重要性
密碼安全性對許多組織來說是一個重大挑戰。 員工和客戶通常使用可能被猜測的弱密碼和重複使用的密碼,甚至強密碼也可能受到惡意軟體或網路釣魚攻擊的破壞。透過存取使用者的密碼,攻擊者可以對使用相同憑證的所有使用者帳戶的合法存取權。
多重身份驗證透過使用多種不同的方式來驗證使用者的身份,從而防止此類攻擊。即使使用者的密碼遭到入侵,攻擊者也需要存取其他驗證因素。
什麼是驗證因素?
顧名思義,多重身份驗證需要多個身份驗證因素才能存取用戶帳戶。存在許多不同類型的 MFA,使用一系列驗證因素。 驗證因素是向系統證明用戶身份的方法。 大多數驗證因素分為三種類別之一:
- 你知道的事情: 基於知識的驗證因素,例如密碼要求使用者記住一些將在驗證頁面中輸入的秘密。
- 你擁有的東西: 基於佔有的身份驗證因素要求使用者擁有特定對象,例如智慧型手機、智慧卡或實體身份驗證令牌(如 Yubikey)。
- 你是什麼: 基於繼承的驗證因素根據指紋、語音印或臉部識別等唯一屬性來識別使用者。
MFA 系統應使用這三種類別中的兩個組合。 例如,最常見的選項是您知道的東西(密碼)和您擁有的東西(產生/接收一次性代碼的裝置)的組合。
MFA 方法的類型
MFA 可以通過各種因素來實現。 一些常見的例子包括:
- 密碼: 密碼是基於知識的因素,也是最常見的用戶身份驗證形式。 但是,由於密碼重複使用和密碼強度,它也存在重大的安全性問題。
- 基於 SMS 或以電子郵件為基礎的 OTP: MFA 常見的第二個因素是透過簡訊或電子郵件傳送的一次性密碼 (OTP),使用者將在驗證頁面中輸入該密碼。 這是基於擁有的因素,因為使用者需要存取接收 OTP 的電話或電子郵件帳戶。
- 驗證器應用程序: Authy 和 Google Authenticator 等身份驗證器應用程式是基於所有權的因素,它在裝置和伺服器上運行相同的演算法來產生 OTP 序列。當使用者登入時,他們提供裝置上顯示的 OTP,伺服器會驗證它是否與目前 OTP 相符。
- 實體驗證令牌: 智能卡、Yubikey 等實體驗證令牌提供基於擁有的身份驗證。 這些裝置可以產生 OTP 或透過 USB、藍牙或 NFC 連接到裝置以提供第二個身份驗證因素。
- 推送通知: 行動裝置可以透過推播通知支援基於佔有的身份驗證。當使用者嘗試登入受支援的帳戶時,其裝置上會出現一則通知,要求他們確認身份驗證嘗試是否有效。
- 生物特徵: TouchID、FaceID 和其他指紋和臉部識別系統使用生物識別技術進行用戶身份驗證。 該裝置儲存了生物辨識數據,並比較收集到的照片、指紋等來驗證使用者的身份。
不同的驗證因素提供不同級別的安全性和便利性。 例如,密碼和基於 SMS 的 OTP 通常被認為是 MFA 的不安全因素,但它們仍在常用中。 無密碼 MFA 是指使用以擁有為基礎和基於繼承的 MFA 的因素,從而消除密碼等不安全的知識型因素。
MFA 和雙因素身份驗證 (2FA) 有什麼區別?
雙因素身份驗證 (2FA) 是一種特殊類型的按鈕驗證。2FA 完全使用兩個驗證因素,而 MFA 使用兩個或更多的驗證因素。 對於高度敏感的系統或風險操作,可能需要具有三個或更多因素的 MFA 來更強地驗證使用者的身份。
有Check Point的 MFA
支援多重身份驗證對於帳戶安全至關重要,因為單因素身份驗證存在因素可能被猜測、被盜或以其他方式洩露的風險。Check Point 解決方案透過 MFA 提供強大的帳戶安全性,包括:
- Check Point Harmony 行動裝置防護和 Harmony 端點可防止單一因素驗證,以防止帳戶接管攻擊。
- 遠端存取 VPN 支援 MFA,並為遠端工作者提供與企業資源的安全無縫連線。
- Infinity入口網站可以集中配置和管理組織的IT基礎架構,包括支持 單一登入 通過與 OKTA 和 Duo 等 SAML 身份提供商集成(SSO)與 MFA 進行(SSO)。
- Harmony Connect 提供 零信任網路訪問 (ZTNA),保護企業資源並為 SSO、MFA 和裝置狀態驗證提供支援。
報名參加免費示範Harmony SASE and see how to deploy ZTNA in five minutes or less.
反映意見