多因素认证 (MFA)
什么是 MFA?
多因素认证 (MFA) 是一种在登录过程中增加额外保护层的安全方法。它要求用户提供多个凭证以建立他们的数字身份。
主要有两种类型的认证 (Authentication):
- SFA/1FA (单因素认证/单因素认证):这是初始的登录方法,通常需要 用户名/电子邮件/电话和密码 或 社交登录。
- MFA/2FA (多因素认证/双因素认证):MFA 要求至少两种不同的验证方法来访问你的账户,有效地增强了对未经授权访问的防御。
认证 (Authentication) 因素是验证你身份的措施。可以选择的因素根据属性分类如下:
| 类型 | 含义 | 验证因素(Logto 支持) |
|---|---|---|
| 知识 | 你知道的东西 | 密码、电子邮件验证码和备用代码 |
| 持有 | 你拥有的东西 | 短信验证码、认证器应用 OTP、硬件 OTP(安全密钥) |
| 固有 | 你是什么 | 生物识别如指纹、面部识别 |
在 MFA 流程中,第二个认证 (Authentication) 步骤必须使用与第一个不同属性类型(知识/持有/固有)的因素。例如,使用“密码(知识)”作为第一个因素和“认证器应用 OTP(持有)”作为第二个因素可以有效地减轻各种攻击向量。
为什么我们需要 MFA?
MFA 是一项重要的安全措施,尤其适用于 B2B 和 B2E 服务。由于多种原因,它在当今的数字环境中被广泛采用:
- 账户黑客攻击:未经授权的账户访问仍然是一个重大的安全威胁。然而,MFA 提供了强大的保护,有效地阻止了 99.9% 的账户黑客攻击,特别是那些源于密码泄露的攻击。它作为一种经济有效的安全增强措施,辅以无密码登录、强密码策略、密码管理器和攻击防护措施。
- SaaS 采用:许多企业正在越来越多地实施 MFA 以保护其员工并确保公司敏感数据和资产的安全。根据 LastPass 的一项调查,57% 的全球企业现在使用 MFA,比去年增加了 12%。
- 法规遵从:MFA 帮助组织保持对 GDPR 和 NIST 等数据保护法规的遵从,从而确保用户数据的安全。
Logto 支持
Logto 通过一键切换简化了 MFA 的激活过程,无需复杂的配置。请从我们的快速指南开始,了解启用验证因素。
支持的 MFA 因素:
- 认证器应用 OTP:使用由 Google Authenticator 或 Authy 等认证器应用生成的基于时间的一次性密码 (TOTP)。
- 通行密钥 (WebAuthn):使用安全密钥或生物识别认证实现无密码体验。
- 备用代码:生成一次性使用的备用代码以供紧急访问。