身份与访问
多因素认证 (MFA)
别称: MFA, 强身份认证
定义
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
多因素认证 (MFA) 通过结合三类因素中的至少两类来提高身份可信度:知识因素(密码、PIN)、持有因素(安全密钥、智能手机、智能卡)和生物因素(指纹、人脸、声纹)。即便一种因素被窃取或钓鱼获取,其他因素仍可阻挡攻击者。基于 FIDO2/WebAuthn 或智能卡的抗钓鱼 MFA 优于 SMS/邮件 OTP,后者易受 SIM 卡交换、服务端被入侵和反向代理实时钓鱼影响。如今 MFA 已成为 NIST SP 800-63B、PCI DSS 以及多数网络保险要求的基础控制,也是防范账户接管最有效的手段之一。
示例
- 使用密码加 FIDO2 安全密钥轻触完成登录。
- 管理后台在 Windows Hello 登录后再次要求硬件令牌。