多因素认证 (MFA)
什么是 MFA?
多因素认证 (MFA) 是一种在登录过程中增加额外保护层的安全方法。它要求用户提供多种凭证来建立他们的数字身份。
认证 (Authentication) 主要有两种类型:
- SFA/1FA(单因素认证):这是初始的登录方式,通常需要用户名 / 邮箱 / 手机号和密码或社交登录。
- MFA/2FA(多因素认证 / 双因素认证):MFA 要求访问账户时至少使用两种不同的验证方式,有效增强了对未授权访问的防御。
认证 (Authentication) 因素是用来验证你身份的措施。根据属性的不同,有多种因素可供选择:
类型 | 含义 | 验证因素(Logto 支持) |
---|---|---|
知识 (Knowledge) | 你知道的东西 | 密码、邮箱验证码、备用码 |
持有 (Possession) | 你拥有的东西 | 短信验证码、认证器应用 OTP、硬件 OTP(安全密钥) |
固有 (Inherence) | 你自身的特征 | 生物特征,如指纹、面部识别 |
在 MFA 流程中,第二步认证 (Authentication) 必须使用与第一步不同属性类型(知识 / 持有 / 固有)。例如,第一因素使用“密码(知识)”,第二因素使用“认证器应用 OTP(持有)”,可以有效防御多种攻击方式。
为什么需要 MFA?
MFA 是一项重要的安全措施,尤其适用于 B2B 和 B2E 服务。在当今数字环境中被广泛采用,原因包括:
- 账户被黑:未授权账户访问仍然是重大安全威胁。然而,MFA 提供了强有力的保护,有效阻止 99.9% 的账户攻击,尤其是因密码泄露导致的攻击。它作为一种高性价比的安全增强措施,可以与无密码登录、强密码策略、密码管理器和防护措施等策略配合使用。
- SaaS 采用:许多企业越来越多地实施 MFA,以保护员工并保障公司敏感数据和资产的安全。根据 LastPass 的一项调查,全球有 57% 的企业正在使用 MFA,比上一年增长了 12%。
- 合规要求:MFA 有助于组织遵守 GDPR、NIST 等数据保护法规,从而确保用户数据的安全。
Logto 支持
Logto 通过一键切换简化了 MFA 的启用流程,无需复杂配置。你可以参考我们的启用验证因素快速指南。
支持的 MFA 因素:
- Passkeys (WebAuthn):使用安全密钥或生物认证,实现无密码体验。
- 认证器应用 OTP:使用如 Google Authenticator 或 Authy 等认证器应用生成的基于时间的一次性密码(TOTP)。
- 短信验证:通过短信发送一次性验证码(验证码)进行认证 (Authentication)。
- 邮箱验证:通过邮件发送一次性验证码(验证码)进行认证 (Authentication)。
- 备用码:生成一次性使用的备用码以便紧急访问。