跳到主要内容

多因素认证 (MFA)

什么是 MFA?

多因素认证 (MFA) 是一种在登录过程中增加额外保护层的安全方法。它要求用户提供多种凭证来建立他们的数字身份。

认证 (Authentication) 主要有两种类型:

  • SFA/1FA(单因素认证):这是初始的登录方式,通常需要用户名 / 邮箱 / 手机号和密码社交登录
  • MFA/2FA(多因素认证 / 双因素认证):MFA 要求访问账户时至少使用两种不同的验证方式,有效增强了对未授权访问的防御。

认证 (Authentication) 因素是用来验证你身份的措施。根据属性的不同,有多种因素可供选择:

类型含义验证因素(Logto 支持)
知识 (Knowledge)你知道的东西密码、邮箱验证码、备用码
持有 (Possession)你拥有的东西短信验证码、认证器应用 OTP、硬件 OTP(安全密钥)
固有 (Inherence)你自身的特征生物特征,如指纹、面部识别

在 MFA 流程中,第二步认证 (Authentication) 必须使用与第一步不同属性类型(知识 / 持有 / 固有)。例如,第一因素使用“密码(知识)”,第二因素使用“认证器应用 OTP(持有)”,可以有效防御多种攻击方式。

为什么需要 MFA?

MFA 是一项重要的安全措施,尤其适用于 B2B 和 B2E 服务。在当今数字环境中被广泛采用,原因包括:

  • 账户被黑:未授权账户访问仍然是重大安全威胁。然而,MFA 提供了强有力的保护,有效阻止 99.9% 的账户攻击,尤其是因密码泄露导致的攻击。它作为一种高性价比的安全增强措施,可以与无密码登录、强密码策略、密码管理器和防护措施等策略配合使用。
  • SaaS 采用:许多企业越来越多地实施 MFA,以保护员工并保障公司敏感数据和资产的安全。根据 LastPass 的一项调查,全球有 57% 的企业正在使用 MFA,比上一年增长了 12%。
  • 合规要求:MFA 有助于组织遵守 GDPR、NIST 等数据保护法规,从而确保用户数据的安全。

Logto 支持

Logto 通过一键切换简化了 MFA 的启用流程,无需复杂配置。你可以参考我们的启用验证因素快速指南

支持的 MFA 因素

  • Passkeys (WebAuthn):使用安全密钥或生物认证,实现无密码体验。
  • 认证器应用 OTP:使用如 Google Authenticator 或 Authy 等认证器应用生成的基于时间的一次性密码(TOTP)。
  • 短信验证:通过短信发送一次性验证码(验证码)进行认证 (Authentication)。
  • 邮箱验证:通过邮件发送一次性验证码(验证码)进行认证 (Authentication)。
  • 备用码:生成一次性使用的备用码以便紧急访问。