1＋1＞2的效果，多因素身份認證是怎麼實現的？

最新 05-11

當你下班回家時，掏出鑰匙即可將鎖打開。門鎖並不在乎鑰匙的持有者是誰，它唯一關心的就是鑰匙是否適合。也就是說，哪怕鑰匙持有者是你的鄰居，甚至是一個小偷，都能悄無聲息地將門打開。

如果開門所需的不僅有鑰匙，而且還有能夠識別主人身份的攝像頭或其他感測器設備呢？別人即使拿著鑰匙，但因為無法通過進一步的身份認證，所以還是無法開門。

企業為什麼需要多因素身份認證？

目前，只用「用戶名+密碼」的方式登錄賬戶（OA、ERP、CRM、VPN、工作郵箱，等等）的企業不在少數。有調查表明，約有60%的員工會復用密碼，甚至還有20%左右的員工使用諸如1234、abc、生日之類的弱口令。

我們知道，鑰匙有丟失、被盜的可能，主人也有可能因為某些原因讓鄰居或朋友代為保管，這些都很有可能威脅到個人財產安全。

同理，在企業中，因為員工使用的靜態密碼安全等級太低，很容易被內部惡意人員或黑客猜到、破解，從而引發信息泄漏事件。

在黑客五花八門的入侵手段面前，靜態密碼顯得不堪一擊。

暴力破解：也被稱為窮舉法，黑客將密碼進行逐個推算，直到找出真正的密碼為止，運用計算機能夠極大地提高破解效率。

撞庫：黑客通過收集已泄漏的用戶和密碼信息，生成對應字典表，嘗試批量登錄其他網站後，得到一系列可以登錄的用戶信息。因為復用密碼的現象非常普遍，黑客可以通過獲取的個人賬戶嘗試登錄員工的工作賬戶，從而竊取企業信息。

釣魚郵件：黑客利用偽裝的電郵，欺騙員工將賬號、密碼等信息回復給指定接受者，或引導企業員工到特製的網頁輸入賬號、密碼等信息。FBI於5月7日發布的《2017年互聯網犯罪報告》指出，2017年美國網路欺詐造成的損失為14億美元，在眾多欺詐行為中，釣魚郵件造成的損失最多，高達6.76億美元。

社會工程學：黑客利用企業員工的善良、信任、好奇心、貪婪等人性特點，通過人際交流的方式，用欺騙等手段使其心理受到影響，從而透露一些機密信息，然後黑客冒用員工身份登錄並竊取信息。

無線入侵：黑客通過偽造無線熱點、偽造熱點註冊頁面竊取用戶賬號密碼信息，或進入企業無線網路，進而掌握員工個人信息，然後利用這些信息登錄企業賬戶、竊取信息。

當然，黑客的攻擊手段還有很多，有些手段甚至更加「高大上」。不過，有調查表明，超過80%的黑客入侵事件，都是利用了被盜口令或弱口令。目前，身份竊取已經成為黑客主要的攻擊點。

那麼，用技術手段進行軟體升級、硬體加固、嚴防死守就能確保網路安全了嗎？別忘了，使用軟、硬體的，其實還是企業員工。「人」是網路安全最薄弱的環節。根據今年4月Ponemon Institute的研究報告，企業信息泄漏主要原因是員工疏忽，而內鬼泄漏的比例高達23%。

對企業來講，有必要用技術手段全面提升賬戶安全，把「人」的因素放到企業安全管理策略中，在各內部系統使用多因素身份認證（MFA）。

1+1＞2

簡單地講，在應用多因素身份認證後，員工登錄內部系統時，需要提供除了賬戶密碼以外的信息。MFA通常使用以下幾種因素的組合：

你所知道的東西：主要是用戶名+密碼。

你擁有的東西：比如簡訊驗證碼、U盾等硬體設備、手機軟令牌，等等。

你本身：比如指紋、人臉等生物特徵。

關於這幾種因素，詳見《持續了近百萬年的人類身份認證，從沒有密碼到消滅密碼》一文。當然，網路安全行業的一個共識是：沒有一種身份識別技術是萬能的。單獨來看，這三種因素中的任何一種都有各自的安全風險。比如「你所知道的東西」可以被猜出、分享，「你擁有的東西」可以丟失、被盜走；「你本身」的生物特徵也能用低成本方式收集、偽造和複製。