何时选择多因素身份验证（MFA）？

Authing 官方2020.07.07阅读 687

理解 Authing 采用模式可以如何帮助您决定何时、为什么使用MFA？

您可能了解过多因素身份验证 (MFA)，或者 (如果您是一个有安全意识的消费者) 经常使用多因素身份验证登录应用程序客户端。您也许知道 MFA 通常比简单地使用用户名和密码登录更安全。但是，当设计自己的应用程序时，什么时候才合适部署 MFA 呢？

MFA 部署

MFA 是一种验证用户身份的方法，它要求用户提供多条身份验证的信息。这种方法提供了附加的安全层，减少了账户被盗取的可能性。MFA 通常需要以下两个或更多的因素:

内容: 用户知道的内容，比如密码。
所有物: 用户拥有的东西，如移动设备。
生物因素: 用户的独特属性，例如指纹。

在典型的 MFA 部署中，用户首先使用用户名-密码组合登录应用程序。如果有效，则提示他们输入 MFA。这通常需要通过应用程序的认证，或者短信发送的一次性密码在手机上完成。其他形式的 MFA 需要硬件设备，如 Yubikey，以及特定平台的身份验证器，如苹果产品中的 Touch ID 和 Face ID。

采用 MFA 的一个重要原因是安全问题的出现。数据泄露越来越常见，大量用户名和密码被泄露，安全性变得越来越重要。2019年，29%的数据泄露与凭证被盗有关，1.5%的网络登录与凭证入侵有关。

此外，许多人在不同在线账户上重复使用相同的密码。根据 TeleSign 的数据，71%的账户使用与其他网站相同的密码。攻击者盗取一次数据就能获得大量被破坏的凭证，并在其他站点上测试所有的用户名-密码组合，使用相同的密码盗取帐户。这种类型的攻击称为凭证填充攻击。

MFA 是防止账户被盗取最好的方法之一，无论凭证填充攻击或其他攻击。攻击者如果想要破坏受 MFA 保护的帐户，那他们不仅需要盗取凭证，还需要验证额外附加的因素。 MFA 极大地增加了攻击者入侵帐户所需的时间和精力，这样他们就很难进行大规模的攻击活动。

MFA 行业用例

如果用户访问任何在线信息都需要通过 MFA，那么这很可能会降低使用体验。这篇将说明，是否采用 MFA 的决定取决于具体的用例，比如特定垂直领域的欺诈和身份盗窃情况的严重程度。对于我们的客户来说，不能简单地因为安全性就决定采用 MFA 的。

通常，我们看到在处理敏感数据的行业 (如保险和银行) 倾向于使用 MFA。这些垂直领域没有额外的身份层，所以对 MFA 的需求迫切。

从行业更广泛的角度来看，MFA 在 B2B 场景中比 B2C 需要更多。这是因为随着法律法规的变化，B2B企业对于身份安全的需求也在不断变化。例如，一个企业旅游公司向政府销售其企业旅游 B2B SaaS 解决方案，以满足其员工的旅游需求。政府需要来自商旅供应商 (包括 MFA) 严格的安全流程，因此他们选择采用 MFA。政府不会关心企业的员工的是否需要进行重复登录，而更加关心身份窃取和通过失窃的数据攻击他们的系统 (尽管用户可能在第一次登录到公司的内部门户时需要 MFA，但是随后在所有内部应用程序中可以直接使用 SSO 登录)。

但如果你的应用是以消费者为中心，以尽可能快地吸引消费者为主要目标，那该怎么办呢? 在这种情况下，MFA 是否会被禁止? 据统计数据显示，直接与消费者打交道的行业 MFA 费率最低，特别是电信、旅游和媒体行业。总的来说，即使在法律、能源、制造和金融科技等被高度采纳的行业，在那些购买 MFA 方案的人中，也只有12%的人打开使用了它。

让客户获得额外的安全保障是身份认证行业的一大难题。谷歌账户提供 2FA 服务近7年后，只有10%的用户选择保护他们的账户。微软的 Office 365 每天遭受1000万次攻击，但只有20%的用户和管理员受到 MFA 保护。最近的 DUO 实验室研究显示，2FA 的使用率只有28%。

寻找平衡: 安全性与用户体验

Auting 专业的服务和营销团队每天都与客户一起研究企业架构和最佳实践，在他们看来，用户体验和安全之间的权衡比 MFA 所涉及的主题要宽泛得多。我们的专业服务团队经常看到对用户体验有着强烈需求的客户，这为我们向客户提供最佳实践创造了挑战。

安全性和用户体验 (至少在身份验证方面) 之间平衡的典型例子，是本地嵌入式登录和将用户身份验证连接到中央服务器的通用登录。本地登录可能会留下安全漏洞，必须针对每个应用程序和操作系统分别进行变更和增强。但它可以提供更多定制选项和更好的用户体验。而在另一种情况下，可以集中变更系统，并同步到所有应用程序和操作系统，对更新和补丁进行集中控制，但可能无法基于每个设备的独特属性进行定制。

对于一些客户来说，用户体验将高于一切。在这些场景中，我们的灵活地提供了定制选项，在保证安全的同时可以满足多元化的需求。

Guardian 如何弥补安全缺口

由于我们看到客户试图在安全性和用户体验之间架起一座桥梁，因此我们创建了自己的 MFA选项，以实现其他选项无法实现的定制。

Guardian 通过推送通知来促进 MFA，让用户无需打开 APP 就可以批准或拒绝登录请求。除了更好的用户体验，这比基于 SMS 的MFA更安全，后者容易受到 SIM 交换攻击。Guardian 甚至可以与 Apple Watch 或 Android Wear 合作。

Guardian 移动 SDK——用于 iOS 和 Android——允许您构建自己的白标签 MFA 应用。这可以用来创有了足够的安装基础，那么您可以在一次更新中将MFA功能部署到所有应用程序中，这意味着您的用户不必下载新的应用程序来注册。

对于还需要考虑易用性和成本的情况，Guardian 通常比第三方选项便宜，并且可以通过 Authing 仪表板上的开关实现。

例外案例：游戏

所以很容易——B2B 用例比 B2C 更有可能使用 MFA。但其实事情并没有想象中那么简单，以游戏产业为例：

在游戏行业中，用户体验是他们提供所有服务的关键，也许你会认为他们理所应当拒绝 MFA。但事实上，身份安全对于游戏行业也非常重要。游戏玩家通常会将一张或多张信用卡绑定，访问在线游戏和购买优惠，而对于黑客来说，他们的个人信息和信用卡数据就成为了诱人的目标。

《魔兽世界》深知密码被盗对数百万的玩家来说威胁巨大，其公司暴雪娱乐在2008年推出了 2FA（双因素验证工具）。当时，用户可以选择使用或者不使用 MFA 暴雪认证，并且这项服务还需要额外的费用和 €6.00 的运费。

今天,《魔兽世界》的玩家仍然可以购买身份验证设备，或通过智能手机应用程序免费使用 MFA。北美、欧洲和韩国的游戏玩家只要安装了身份认证器，就会获得一只虚拟的 core hound 小狗作为宠物，而安装了身份认证器和 Blizzard SMS Protect 的玩家可以获得更大的背包容量。

随着在线游戏社区中身份欺诈和盗窃现象的增多，Epic 将门槛设得更高，最近向其7,830万 Fortnite 玩家免费提供了 2FA 游戏。该公司通过给使用者奖励游戏局内的舞蹈表情来激励用户注册。这一激励举措不仅让玩家开始保护自己的账号安全，还帮助公司在应用内购项目上获得了10亿美元的收入。Epic 正在率先证明，正确的激励机制可以克服用户体验障碍，至少在游戏行业，这或许是增加 MFA 使用率的一个长期可行的解决方案。