好色先生TV

訪問受保護的资源時，使用憑據資訊對數據存儲進行身份驗證。它由一個聲稱的身份和與之相關的秘密組成。傳統上，這僅使用簡單的使用者名和密碼即可完成，並且是當今最常見的身份驗證方法。不幸的是，使用者名/密碼身份驗證已被證明非常容易受到網路釣魚和憑據駭客攻擊。由於密碼可能很難記住，人們傾向於選擇一個簡單的密碼，並在他們的各種在線和雲服務中重複使用它。這意味著，當一個憑據在一項服務上被駭客入侵時，惡意的外部人員會在其他個人和專業數位服務中對其進行測試。?

多重身份驗證 （MFA） 旨在通過要求使用者提供兩種或多種驗證方法，然後才能存取特定资源（如應用程式、資料存儲或專用網路）來防止這些威脅和其他類型的威脅。

术语“因素”描述了用於验证某人声称的身份的不同身份验证类型或方法。不同的方法是：

• 您知道的内容 - 例如密碼、記住的 PIN 碼或挑戰問題。
• 你拥有的东西——虽然从歷史上看它是一个硬令牌，但今天更常见的是智能手机或安全的鲍厂叠金钥。
• 你是什麼——常見的生物识别技术是指紋、面部識別;不太常見的是生物识别技术，如語音或其他識別技术。

如何確定應為受保護资源配置多少個因素？

安全性和可用性要求決定了用於確認請求者身份聲明的過程。多因素身份验证允許安全團隊回應請求者（人員或程式設計進程）的上下文或情況，刪除訪問許可權是最常見的方案。除了確定需要多少種類型的身份驗證之外，IT 還需要平衡可用性要求的成本和實施這些要求的成本。

單因素身份驗證 （SFA）

SFA 過去和現在仍然是保護對移動、在線和其他安全資訊和設施的訪問的預設方法。因為它無處不在且價格低廉，所以最常見的 SFA 類型是使用者名和密碼。儘管如此，無密碼技术的採用速度越來越快，以避免各種網路釣魚攻擊帶來的威脅。例如，大多數基於移動的應用程式都允許使用指紋或面部識別來代替傳統的使用者名和密碼。?

如今，惭颈肠谤辞蝉辞蹿迟和雅虎提供的在线服务提供了无密码的厂贵础选项，苹果和谷歌等其他供应商也将在明年提供相同的选项。

由於身份验证令牌用於验证身份，因此需要保护身份验证令牌免受外界攻击。除了强大的令牌安全性外，它们通常被配置為相当频繁地过期，从而提高了它们的刷新率。虽然在无密码介面下实现使用短期令牌可以提高安全性，但它不符合双因素身份验证提供的级别。

雙因素身份驗證 （2FA）

2FA 通過要求使用者提供第二種類型（知道、擁有、是）進行身份驗證來增強安全性。一種身份證明可能是物理令牌，例如身份證，另一種是記憶的東西，例如質詢/回應、安全代碼或密碼。第二個因素大大提高了瀆職者和其他外部行為者成功突破安全漏洞的門檻。?

以下是常用身份验证方法的常见清单：?

• 一次性密码 – TOTP、HOTP、YubiKey 和其他符合 FIDO 標準的設備
• 其他带外 – 語音通話、移動推送
• PKI – 證書
• 生物识别技术 – 指紋、面部、語音識別
• 邻近 – 卡片、移動應用程式地理圍欄
• 您所知道的 – 密碼、挑戰問題
• 社会凭证

三因素身份驗證 （3FA）?

在雙因素的基礎上增加了另一個因素，使偽造一個聲稱的身份更加困難。典型的情況可能是將生物识别技术添加到現有使用者名/密碼以及感應卡登录名。由於它增加了顯著的摩擦級別，因此應將其保留用於需要高級別安全性的情況。銀行可能會發現 3FA 有意義的情況，各種政府機構也是如此。機場或醫院部分區域內的特定高控制區域也是安全團隊認為有必要進行 3FA 的區域。

MFA 通常用於何處？

儘管许多组织将使用者验证视為事后的想法，但重要的是要注意，痴别谤颈锄辞苍的年度顿叠滨搁始终将凭据骇客攻击视為首要的违规策略。几乎每个组织都会遭受敏感信息丢失的事件，从而导致有形的财务损失和潜在的客户信任损失，这隻是时间问题。

這些趨勢之所以引人注目，是因為多因素身份验证從未像今天這樣方便且經濟實惠。傳統上，組織一直將其 MFA 實現限制為一小部分專業使用者，這些使用者處理的資訊會給業務帶來更高級別的風險。成本和可用性通常是阻礙更廣泛部署強身份驗證技术的限制因素。從歷史上看，強身份驗證方法的購買、部署（包括註冊使用者）和管理成本很高。但最近，各行各業、組織本身、客戶（或患者、公民、合作伙伴等）以及他們可以訪問的技术都發生了一系列翻天覆地的變化。

实施多重身份验证的主要业务驱动因素是什麼？

虽然每个组织都有自己的具体要求，但有一些高级业务驱动因素在它们之间经常是通用的：?

• 大多數行业必須遵守有關客戶、患者或財務資訊的某種類型的隱私法。此外，政府機構繼續加強其政策，要求 MFA 進行使用者身份驗證。
• 遠端工作 – 專業人士比以往任何時候都更多地在辦公室外工作，無論是作為公路戰士還是作為遠端員工。無論是其風險管理實踐的一部分，還是作為涵蓋受政府身份驗證要求約束的信息（客戶、患者、公民、人力资源等）的合規計劃的一部分。
• 高級用戶和他們所在的組織在一個無處不在的互聯世界中這樣做，這意味著當他們的憑據被破壞時，暴露給僱主的漏洞是使用 MFA 保護其帳戶的有力力量。
• 幾乎每個人的口袋裡都有一台聯網的電腦（智能手機），他們用它來生活：社交媒體、消費者個人化內容和電子商務。由於客戶希望在其設備上以數位方式與企業進行交互，因此組織通常會採取積極的移動應用策略，需要 MFA 來管理其風險。?

哪些要求組織使用 MFA 來遵守規定？

• 於2005年10月發佈指導意見，要求銀行重新評估其登录協定，認為單因素认证作為唯一的控制機制，不足以應對涉及訪問或資金流動的高風險交易，並根據其服務風險加強认证。除了授權之外，金融機構在獲得客戶信任方面也面臨著很高的門檻。
• – 美國金融機構必須確保其客戶記錄的安全性和機密性。
• ）第404条要求上市公司的首席执行官和首席财务官证明其内部控制的有效性。
• PCI DSS要求 8.2 定義了身份驗證要求，其中包括用於遠端訪問持卡人數據環境 （CDE） 的 MFA。?它還建議應使用哪些方法。

有哪些方法可以減少 MFA 對用戶體驗的干擾？

IT 可以使用一些技术來減少 MFA 可能給使用者帶來的摩擦：

• 單點登录。
• 访问请求的风险评估。
• 将最佳身份验证类型与使用者匹配。

單點登入 （SSO）

單點登录 （SSO） 允許使用者僅通過使用者的單次交互對多個资源進行身份驗證，這意味著使用者輸入單個憑據，在該會話期間，其下的基礎結構代表他向每個受保護的资源進行身份驗證。最安全的 SSO 方法是讓身份驗證引擎對為 SSO 設置的每個资源使用一組唯一的憑據。這將安全性提升到一個高級別，因為：

• 使用者不知道资源的實際憑據，而只知道提供給身份驗證網關的用於憑據的憑據。這會強制使用者使用身份驗證閘道，而不是直接轉到资源。這也意味著每個资源都有一個唯一的憑據，因此如果其中一個资源的身份存儲被破壞，它不會危及其他资源。此方法允許 IT 在對受保護资源執行串行身份驗證時遵守 MFA 要求。 ?
• 通過利用使用者上下文，基於風險的 （RBA） 技术只能在需要時調用 MFA。無論是為了遵守政府指令還是強制執行組織的風險管理策略，RBA 都可用於減少對使用者施加身份驗證請求的實例。策略通常是位置、設備和訪問時間的混合。?

低摩擦身份验证选项

雖然傳統的 OTP/TOTP 仍將是最常見的第二因素身份驗證類型，但可能還有其他選項對某些情況更有意義。帶外推送移動應用程式為 OTP 提供了低摩擦選項，因為使用者需要做的就是點擊接受按鈕。對於風險較高的情況，一些推送應用程式可以選擇推送行動應用程式，可以配置為需要指紋來驗證此人的身份，以及確認桌面上顯示的資訊（例如數位），以進一步驗證使用者是否同時擁有桌面和智能手機。

面部識別正迅速成為首選的生物识别身份驗證。Windows Hello 的低摩擦特性，注意到它會隨著時間的推移而變得更好，提供方便的用戶體驗。最大的挑戰是 Windows Hello 不能很好地處理各種照明情況。這種無法識別整個照明的人臉可以通過額外的面部配準進行管理。最近，一些移動應用程式提供了在眼睛中註冊一個人的虹膜圖案的能力。結合使用（面部、指紋、虹膜），生物识别身份驗證選項將安全門檻提高到相當高的水準，讓局外人無法擊敗。對於尋求低摩擦方式來防止網路釣魚攻擊的組織來說，生物识别方法也是一個很好的選擇。

语音辨识在金融服务领域越来越受欢迎。机构喜欢它，因為当客户与服务代表交谈时，它完全是被动的。当客户的身份得到验证时，代表将收到通知。他们使用语音辨识来代替客户的挑战问题，这些客户经常难以记住对他们的正确回答。在这种情况下，安全性和可用性得到了优化。

FIDO/FIDO2 是使用者在多個設備上漫遊的有吸引力的選項。使FIDO成為有吸引力的身份驗證選項的部分原因是其廣泛的供应商支援及其對可用性的關注。FIDO在與大量使用各種數位服務的學生打交道的大學中獲得了顯著的吸引力。FIDO 允許跨不同設備和平台進行無密碼身份驗證的可移植性。

智慧手机手势的分析是一种行為分析，它对拥有者如何处理设备以及与其设备进行物理交互的方式执行啟发式分析。输出是基於跟踪手势模式的置信度评级。随着时间的流逝，分析会增加置信度，从而建立出手势保真度。虽然最初还不足以成為身份验证的主要形式，但手势分析可以作為一种合适的方法，与其他身份验证类型结合使用。

怎麼樣NetIQ 與其他 MFA 解决方案有何不同？

安全團隊經常實施所採用的身份驗證附帶的支持軟體。這似乎很有效，直到購買了需要不同軟體實現的不同設備，從而創建了另一個孤島。在大型組織中，很有可能有多個無密碼技术孤島用於多重身份驗證或滿足其他一些身份驗證要求。這種情況的缺點是每個身份驗證接收器都有自己的一組策略。使這些多個策略存儲保持最新狀態需要更高的管理開銷，並引入策略不均衡的風險。

好色先生TV? NetIQ? Advanced Authentication旨在滿足最大型組織的多因素身分驗證需求。它基於標準的方法提供了一個開放的架構，沒有供应商鎖定的風險。該框架支援各種開箱即用的設備和附加方法，但也可以隨著新技术投放市場而擴展。

無論平台如何（網路、行動、用戶端），AA 也為最常見的平台和應用程式提供開箱即用的支援。除了充當企業範圍內的身份驗證中央策略引擎之外，AA 還提供基於風險的引擎來控制 MFA 的呼叫時間以及控制在不同風險等級下提供的身份驗證類型。除了自己的內建引擎之外，AA 還整合了NetIQ Access Manager 提供一組強大的單一登入選項和風險指標，可作為自适应存取管理案例的一部分。