当王校长想要用自己的手机号码进行登录的发现，登录不上，提示：【由于你在2021年10月9日通过美团将大众点评账号“王思聪”绑定的手机号更新为：137****2797，因此你需要使用新手机号重新登录。】这明显就是手机号被别人换绑了，导致真正的账号原主人登录不上。

企业总是希望自己的用户能将密码的难度提高，以防止攻击者的闯入，然而人的记忆本性是无法记住复杂信息的。据统计，15％的人用宠物的名字来当做密码。其他常见的密码规则包括生日等重要日期以及姓氏等。十分之一的人会跨APP重复使用口令，40%的人表示他们使用了格式化的口令，例如Fall2021，最终成为 Winter2021 或 Spring2022。

2. 黑客攻击

上述简单的密码可能更容易记住，但黑客也更容易猜到。一旦账号密码被泄露，通常会在网络黑市上出售，用于大数量级的攻击。黑客也有很多工具和技术。他们可以使用自动密码嗅探工具尝试多种可能性。也可能利用网络钓鱼，让你将账号密码录入一个假网站。这些策略相对来说并不复杂，已经使用了几十年，但它们仍然有效，因为仍然是由人类创建的。

美国网络安全和基础设施安全局 （CISA）将只有账号密码的登录方式视为“异常危险”。如下所说：

单因素身份验证意味着用户名和密码授予用户访问权限，无需其他任何要求。据 CISA 称，这是一种非常普遍的高风险做法。微软透露，其云服务每天有大约 3 亿次欺诈性登录尝试。即使是八位字符的密码——混合了数字、大小写字母和特殊字符——也相对容易破解。

许多员工在公司管理系统中，在多个帐户中重复使用基本相同的密码。这是个不争的事实。

员工希望以尽可能少的复杂性来完成他们的工作，因此他们可能倾向于创建变化最小的密码，以便他们可以记住的密码。

我们需要找到平衡用户需求与密码安全的解决方案！

密码之所以重要，是因为其保护的是关键业务帐户、网络访问或敏感数据，如此重要的信息却依托于如此脆弱的安全机制，是极其失衡的。

因此企业必须考虑，如何在不过分伤害用户体验的同时，加上一些其他的验证手段，来保证登录账号的人就是真实的本人。这些验证手段，应该只有本人才能得以操作，从而保障在做重大操作的时候确保是本人在进行。这就是MFA。

MFA全称：多因素认证（Multi Factor Authentication，简称 MFA）是一种简单而有效的安全实践方法，它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后，用户进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要进行第二次乃至多次身份验证，多因素身份认证结合起来将为你的帐号和资源提供更高的安全保护。

三、MFA有哪些？

MFA 使用两个或多个因素的任意组合来验证身份，并保护重要资产免受欺诈访问。从原理上来来讲，MFA主要利用如下三个主要因素来确认身份：

• 用户拥有的东西 — 实物，例如银行卡、身份证、U 盘、设备。
• 用户知道的东西—一个“秘密”，比如密码或 PIN。
• 用户是谁—生物特征，如指纹、声音、虹膜扫描和其他生理特征。

在典型的 MFA 部署中，用户首先使用用户名-密码组合登录应用程序。如果有效，则提示他们进一步进行MFA认证。采用 MFA 最重要的原因和目标就是账号安全问题。账号问题引起的数据泄露越来越常见，安全性变得越来越重要。2019年，29%的数据泄露与凭证被盗有关，1.5%的网络登录与凭证入侵有关。

此外，许多人在不同在线账户上重复使用相同的密码。根据 TeleSign 的数据，71%的账户使用与其他网站相同的密码。攻击者盗取一次数据就能获得大量被破坏的凭证，并在其他站点上测试所有的用户名-密码组合，使用相同的密码盗取帐户。这种类型的攻击称为凭证填充攻击。

MFA 是防止账户被盗取最好的方法之一，无论凭证填充攻击或其他攻击。攻击者如果想要破坏受 MFA 保护的帐户，那他们不仅需要盗取凭证，还需要验证额外附加的因素。 MFA 极大地增加了攻击者入侵帐户所需的时间和精力，这样他们就很难进行大规模的攻击活动。

当然了，实现MFA的方法多种多样，安全效果自然也大相径庭。我们不妨分析一下常见MFA方法，看看哪种验证因子更为有效。

四、5种MFA多因素验证方法

1. 一次性短信验证码（OTP）

用短信作为第二个身份验证因子很是常见。用短信向用户手机发送随机的四到六位数字，理论上只有持有正确手机的人才能通过验证，对吧？

很不幸，答案是否定的，已有多种方法被证明可以黑掉OTP。

比如说，2018年6月中旬，黑客就是通过短信拦截而黑掉了新闻娱乐网站Reddit。虽然黑客并未获得太多个人信息(Reddit的事件响应工作很棒)，还是暴露出了短信身份验证码并不像人们通常以为的那么安全。利用蜂窝网络漏洞就能拦截短信。受害者手机上安装的恶意软件也能重定向短信到攻击者的手机。对手机运营商的社会工程攻击可以使攻击者复制出与受害者手机号相关联的新SIM卡，接收到受害者的OTP短信。

实际上，美国标准与技术研究所(NIST)在2016年就不赞成使用短信身份验证了，认为该方法不再是安全的身份验证方法。但不幸的是，很多公司企业还在继续依赖短信OTP，给用户一种虚假的安全感。

2. 硬件令牌

作为现役MFA方法中的老大哥，硬件身份验证令牌常以带OTP显示屏的密钥卡的形式存在，硬件本身保护着其内部唯一密钥。但硬件密钥卡的缺陷也很明显。首先，用户不得不随身携带这个额外的设备；其次，贵，且需要物流递送；最后，必须不时更换。某些硬件令牌需要USB连接，在需要从手机或平板进行验证的时候就很棘手了。

3. 手机令牌

手机令牌很大程度上与硬件令牌类似，但是通过手机应用实现的。手机令牌最大的优势在于用户只需要带个智能手机就行了，而智能手机现在基本属于必备品，很多人忘带钥匙都不会忘带手机。真正的问题是要审查令牌进入手机的方式，也就是“激活过程”。以二维码提供进入凭证可不是个好主意，任何能复制你二维码的人都能掌握你令牌的副本。

4. 基于推送的身份验证令牌

一种脱胎于常见手机令牌和短信验证码的验证令牌，运用安全推送技术进行身份验证，因易用性提升而受到用户欢迎。与短信不同，推送消息不含OTP，而是包含只能被用户手机上特定App打开的加密信息。因此，用户拥有上下文相关信息可供判断登录尝试是否真实，然后快速同意或拒绝验证。如果同意，用户手机上的令牌应生成一个OTP，连同该同意授权一起发回以供验证使用。但由于不是所有MFA解决方案都这么做，也就增加了推送同意消息被摹写和伪造的风险。

5. 基于身份证的特殊令牌

这是一种最超前的方式，也是迄今为止最安全的方式了，安全程度比硬件令牌还要高，如果硬件令牌方案可以评价为四星的话，那身份证方案可以算是五星了。最大的优势就是是用身份证和账号相互绑定，在登录账号的时候需要同时验证用户身边是否持有匹配的身份证，当然是最安全的方式了。然而由于不是每个人都随时携带身份证，所以该方案还需要再扩展出更“亲民”的方式才能真正商用。

如上所述，MFA 验证方法多种多样，但并不是每一种都能给企业带来同等的安全，而最安全的方案往往要么成本太高、要么对用户的要求太高。因此，推出MFA解决方案时要综合考虑安全程度和操作可行性。所谓鞋合不合适只有脚知道。但是有一点是确定的，那就是必须采用至少一种 MFA方式，否则就是将企业安全曝光在火山口，那是万万不可取的！

五、实施MFA会带来怎样的改变

再回头看我们开头的两个例子，如果实施了 MFA，还会那么轻易得发生么？

案例一：王校长

小A想要换绑王校长的手机号，输入王校长手机号的时候，点击【遇到问题】选择【手机不能接收验证码】，此时，系统不再是轻松校验王校长的生日，而是会去校验一个只有王校长才拥有的东西。例如身份证、面容、指纹等生理特征。小A不可能同时拥有只有王校长才有的信息了吧。

案例二：编程高手小蔡

即使小蔡记忆力好，能够记住密码，登录上了系统，此时系统检测到此时登录的环境变了，常用设备变了，IP也变了，不妙，需要再次校验下其他信息。抽取了面容作为二次验证。这时候小蔡无法再伪造面容了，也无法登录了。就没有后来的62万条数据被盗。

这时候，MFA后台会产生一条审计，显示：

时间：2021-12-27 10:03:09

IP：http://…

状态：登录失败

原因：校验面部无法通过

备注：销售员小王账号可能有泄露风险，请及时修改密码。

当然你会问我是不是每次都这样复杂，那企业成本会变得更加高。当然不是，这就是MFA的魅力所在。现在的「自适应MFA」相较于传统MFA，能够根据当前安全状况，选择应用不同的 MFA 方式，在保障安全的同时也兼顾用户体验，「自适应」多因素认证提供了更加灵活和智能的验证策略。

据统计：每秒多达 579 次口令攻击–相当于每年 180 亿次。

MFA多因素验证，可以为企业搭起一道很高的防护墙，充分拦截掉各种有意的和无意的攻击。从此，绝大部分企业就能踏实睡个好觉了！

参考资料：