多重身份验证(MFA)是在授予用户访问特定资源的权限之前,使用多重身份验证来验证用户身份的过程,仅使用单一因素(传统上是用户名和密码)来保护资源,使它们容易受到破坏,添加其他身份验证因素可为资源提供坚不可摧的保护,并降低网络攻击的可能性。
多重身份验证(MFA)在身份和访问管理(IAM)中发挥着不可或缺的作用,可帮助组织更接近创建零信任安全框架。
MFA 的工作原理是使用用户名和密码以外的身份验证因素来验证用户,这些身份验证因素包括:
仅使用密码保护资源只能保护身份的最低限度。黑客可以使用多种攻击来破坏密码,例如暴力攻击、网络钓鱼攻击、字典攻击和 Web 应用程序攻击,这就是为什么实施额外的身份验证层来保护资源非常重要的原因。
用户恰好是组织安全链中最薄弱的环节。他们可能会在不知不觉中选择弱密码、重复多个资源的密码、将密码存储在显眼的地方或长时间保留相同的密码,实施 MFA 可防止这些用户漏洞。因此,即使未经授权的人员获取了用户的密码,他们仍然无法获得对特权资源的访问权限,因为他们需要其他信息才能完成后续的 MFA 方法。
特权帐户(例如管理员或 C 级执行帐户)通常容易受到攻击。如果攻击者掌握了这些帐户中任何一个的凭据,他们将可以访问网络中最重要的数据和资源,其影响可能是不可逆转的。为了降低风险,组织必须使用额外的安全层来保护其高风险帐户。
部署 MFA 不仅有助于组织加强访问,还有助于他们遵守数据监管规范,如 PCI DSS、GDPR、NIST 800-63B、SOX 和 HIPAA。
双因素身份验证(2FA)是 MFA 的同义词,但是,顾名思义,2FA 总共只包含两个身份验证因素,而 MFA 对涉及的身份验证因素的数量没有任何限制。
多重身份验证(MFA)的使用更广泛,因为它使用多种身份验证方法更好地保护资源。但对于合法用户来说,每天必须使用多种身份验证方法证明其身份可能会导致 MFA 疲劳。对于简单智能的MFA,AI和机器学习已经与MFA集成,催生了自适应MFA。
自适应MFA(也称为基于风险的 MFA)为用户提供身份验证因素,这些因素在用户每次登录时都会根据 AI 根据上下文信息确定的用户风险级别进行调整。上下文信息包括以下内容:
呈现给用户的身份验证因素基于使用上述上下文因素计算的风险级别,例如,假设用户在度假时尝试在不合时宜的时间登录其工作计算机。用户行为分析(UBA)工具可识别用户的位置和访问时间不同,并自动提示他们使用其他身份验证因素来证明其身份。
有时,当使用 AI 检查用户登录条件且未检测到风险时,可以为用户绕过 MFA 过程,有时,如果用户的活动看起来可疑,他们也可能被拒绝访问所请求的资源。
优点:
缺点:
ADSelfService Plus是一种身份安全解决方案,用于确保安全无缝地访问企业资源并建立零信任环境。具有自适应MFA、单点登录、员工自助服务以及密码管理和安全性等功能,可为员工提供安全而轻松的资源访问。提供不同类型的高级身份验证技术,以在以下期间强制执行Active Directory MFA:
ADSelfService Plus 通过自适应身份验证、条件访问和无密码身份验证等功能,以满足企业的所需要的多重身份验证(MFA)需求。