多因子驗證 (Multi-Factor Authenication , MFA , 也稱多重驗證) 是一種先進的分層式驗證框架,需要至少兩種獨立的驗證形式來驗證使用者的身分,才會授予應用程式、伺服器或 VPN 等資源的存取權。多因子驗證的目標在於提供分層式防禦,藉由提高存取難度來阻擋未經授權者存取目標(例如實體位置、運算裝置、網路、資料庫)。採用多因子驗證,就算其中一個驗證因子遭到破解,至少還存在另一道存取防線。
多因子驗證是身分與存取管理 (Identity and Access Management , IAM) 框架的核心組成要素,它提高了存取資源的門檻。雖然就技術上而言,雙重因子驗證(Two-Factor Authenication , 2FA或稱二階段驗證)算是另一種形式的多因子驗證,但通常會使用兩種以上的的驗證因子。
為什麼需要多因子驗證
需要多因子驗證的主因在於它可以強化組織的整體安全態勢。它將使用者名稱 / 密碼憑證提升至新的水平,大幅提高存取防護效力。增加密碼以外的驗證因子有助於防止密碼外洩,阻止駭客使用盜用的憑證入侵帳戶。
此外,多因子驗證有助於克服使用者自然為之,但卻造成他們的憑證容易遭到暴力攻擊的行為。這些行為包括:
- 重複使用密碼
- 將密碼寫在便利貼上或儲存在數位地點(如文件、試算表、通訊錄)
- 使用可預測的密碼
多因子驗證的優勢
- 適應不同的使用情況
- 在軟硬體和個人身分識別層級增加多重的安全防護
- 可讓管理員強制執行原則,限制只能在特定時間點或位置存取
- 方便使用者輕鬆設定
- 可降低管理成本,因為管理人員只需關注標記的可疑行為,無需時時監控所有活動
- 使用者不必再費心保存、記住和管理數個不同帳戶的密碼
- 部署多層式防禦系統,防止未經授權的使用者或網路犯罪者存取帳戶、裝置、網路或資料庫等資源
- 可使用即時隨機產生的一次性密碼 (One-Time Password , OTP),這種密碼是透過簡訊或電子郵件發送
- 確保遵循由公司治理、政府和業界標準訂立的規則
- 透過保護個人資訊來增進使用者的信任
- 增加離線存取選項,方便無法連線到網際網路的使用者存取
- 使用者可在不影響整體安全性的前提下,從任何裝置存取資源,進而提高生產力
- 監控使用者活動並發現異常情形,例如處理高額交易,或從不明網路或裝置存取敏感資訊
- 提供可擴展的成本結構,以契合所有預算規模
- 確保使用者確實是其所聲稱的身分,以防詐騙
- 跟單獨使用密碼相比,更能明顯降低安全漏洞的發生
- 透過為使用者建立一個低門檻的流程,消除採用多因子驗證的障礙
- 根據各式風險因子追蹤使用情況,例如地理位置、網際網路協定 (IP)、位址及上次登入時間
多因子驗證的運作方式
多因子驗證會在使用者試圖存取資源時,要求使用者提供標準使用者名稱和密碼憑證以外的其他驗證資訊,又可稱之為因子。通過驗證後,使用者即可連線到資源。
多因子驗證可分為裝置和應用程式兩類:
- 裝置的 MFA 會在使用者登入時驗證其身分。
- 應用程式的 MFA 會驗證使用者並授予他們存取一或多個應用程式的權限。
自適應多因子驗證
自適應多因子驗證(Adaptive MFA)又叫做風險型驗證,會考量情境和行為來分析額外因子。自適應多因子驗證運用人工智慧 (AI) 技術收集和處理情境資料,使用即時分析來計算登入嘗試的相關風險分數。
依據風險分數可決定最佳的使用者驗證方法。例如:
- 低風險只需要提供密碼
- 中等風險需採用多因子驗證
- 高風險需要增加額外的驗證流程
自適應多因子驗證是動態的驗證方式,而非遵循一系列靜態規則進行登入驗證。透過運用 AI,它能適應使用者的行為和特性,而後為每一個使用者工作階段套用最適當的身分驗證類型。這裡會考量到的因子包括:
- 裝置
使用者是否正試圖使用未經許可的裝置登入? - IP 位址
這跟使用者平時登入資源時使用的是同一個 IP 位址嗎? - 位置
使用者在短時間之內試圖從兩個不同的位置登入帳戶嗎?使用者登入的位置不尋常嗎?使用者試圖從公共網路,而非從公司網路登入嗎? - 敏感性
使用者試圖存取敏感資訊嗎? - 登入時間
登入時間與使用者正常的登入時間有關聯嗎?
自適應多因子驗證範例
自適應多因子驗證可辨識出使用者在深夜裡試圖從咖啡館登入可能是不尋常的行為。接著它會提示該使用者除了提供使用者名稱和密碼之外,還必須輸入透過簡訊發送到手機的一次性密碼(OTP)。
相對之下,如果使用者是在早上 8 點嘗試從辦公室登入,那麼就只會提示他提供使用者名稱和密碼。
人工智慧 (AI) 和多因子驗證
在多因子驗證中納入人工智慧 (AI) 技術提高了此安全實務的功效和效率。網路犯罪者不斷進化,變得更擅長竊取使用者的憑證。納入 AI 技術讓竊賊更難突破多因子身分驗證的保護。
採用 AI 技術的多因子驗證系統會隨時間不斷學習和調適,以確保自己比網路犯罪者技高一籌,同時避免影響到終端使用者。
支援 AI 功能的 MFA 可依據使用者的行為驗證其身分。舉例來說,行為生物辨識技術可以追蹤使用者握手機的姿勢,乃至追蹤其特殊的步態等特徵。
支援 AI 功能的多因子驗證還包含:
- 生物辨識驗證
- 臉部辨識
- 指紋辨識
- 虹膜辨識
- 手掌辨識
- 語音辨識
多因子驗證範例
生物辨識驗證
具備生物辨識驗證功能的智慧型裝置或電腦可進行身分驗證。多因子驗證越來越常結合使用生物辨識技術,原因在於它可為使用者提供低摩擦的登入步驟,而且因為騙不過它,安全性也得以提升。
電子郵件憑證驗證
電子郵件憑證驗證會發送內含一次性密碼 (OTP) 的電子郵件給使用者。除了這個 OTP,會再多使用一或兩種驗證方法來驗證使用者的身分。當使用者身邊沒有手機時,常會提供用這種方式來替代簡訊憑證授權。
硬體憑證驗證
多因子驗證可結合使用硬體憑證提高安全防護水平。雖然它比電子郵件或簡訊憑證來得昂貴,但仍被認為是最安全的驗證方式。硬體憑證一定要插入裝置中,才能驗證使用者的身分並授予裝置的存取權。
社群帳號登入驗證
社群帳號登入也稱作社群身分驗證,如果使用者已登入社群媒體平台,即可搭用此方式進行多因子驗證。儘管它被認為比其他驗證因子更高風險,但與其他身分驗證方法一起使用也頗具成效。
軟體憑證驗證
智慧型裝置上的驗證應用程式可用來進行多因子驗證。此應用程式可將智慧型裝置轉換成憑證,並與多因子驗證服務綁定。
風險型驗證
風險型驗證 (Risk-based Authentication , RBA) 透過監控行為和活動(例如位置、裝置、鍵盤輸入)來支援多因子驗證。根據發現結果,RBA 可通知多因子驗證的檢查頻率,以提高安全性並將風險降至最低。
安全問題
靜態安全問題或動態問題都算知識型驗證 (Knowledge-based Authenication , KBA) 的一種,可用於進行多因子驗證。使用靜態問題時,使用者必須在設定帳戶期間回答問題,而後在登入流程期間隨機顯示這些問題以進行身分驗證。
動態問題是利用公開可用的資訊,即時隨機產生問題。通常,使用者會看到一個問題和一系列答案(例如您出生的城市、是否曾在任何一個地址處居住過,裡面有您使用過的電話號碼嗎?)。使用者必須選取正確的答案才能通過身分驗證。
簡訊服務 (SMS) 驗證
簡訊權杖驗證是透過簡訊發送內含個人身分識別碼 (Personal Identification Number , PIN) 的訊息。此 PIN 碼會做為一次性密碼並結合一或多個因子使用。
簡訊權杖驗證是實行起來相對簡單的多因子驗證方法。通常做為電子郵件權杖驗證的替代傳送方式。
時間型一次性密碼驗證
時間型一次性密碼 (Time-based One-Time Password , TOTP) 是在使用者嚐試登入時生成的,並於設定時間後過期。TOTP 可透過簡訊或電子郵件發送到使用者的智慧型手機或電腦。
多因子驗證方法
多因子驗證是採用結合多種驗證方式的運作型態。主要 MFA 方法是基於使用三類資訊進行身分驗證:
- 使用者知道的知識或資訊
- 使用者擁有的物品或設備
- 使用者本身的特徵或屬性
- 基於時間的驗證
多因子驗證知識類別
多因子驗證中的知識型身分驗證會要求使用者回答安全問題。多因素驗證的知識範例包括:
- 回答安全問題(例如,使用者的出生地、最喜歡的顏色、就讀高中的吉祥物、母親的娘家姓氏)
- OTP
- 密碼
- PIN 碼
多因子驗證持有類別
多因子驗證中的持有因子會要求使用者透過其持有的物品進行登入,因為網路犯罪者無法輕易取得。MFA 持有類別中的物品包括:
- 識別證
- 鑰匙扣感應器
- 鑰匙圈
- 行動電話
- 實體憑證
- 智慧卡
- 軟體憑證
- 通用序列匯流排 (USB) 金鑰
多因子驗證固有類別
在多因子驗證中,可以確認使用者的任何一種生物特徵來進行身分驗證。固有因子包含以下幾種生物辨識驗證方法:
- 臉部辨識
- 指紋掃描
- 語音驗證
- 視網膜或虹膜掃描
- 掌形辨識
- 數位簽名掃描器
- 耳垂形狀生物辨識
時間型多因子驗證
時間可用於多因子驗證。時間型驗證可透過偵測個人在特定時間的存在來證明其身分,並授予特定系統或位置的存取權。舉例來說,倘若在美國提款後,過了十分鐘又試圖在中國提款,則該提款卡會被鎖住。
多因子驗證最佳實務
多因子驗證實行起來並不困難,但考量最佳實務有助於進行高效且有效部署。以下是幾種常見的實行和管理 MFA 系統的最佳實務。
教育使用者有關多因子驗證的重要性及其用法。
使用者常被視為安全鏈中最脆弱的一環,而他們在成功的 MFA 部署中是不可或缺的關鍵。花時間教育使用者了解系統的運作方式及遵循規則的重要性,可為計畫提供強大的助力。
在企業全面實行多因子驗證。
將整個組織的所有存取點納入部署中,避免出現可能削弱多因子驗證的破口。務必將遠端網路存取納入 MFA 部署,以涵蓋所有系統上遠端且分散的使用者。
納入自適應多因子驗證。
使用情境建立自適應、多層次的 MFA 方法,根據風險分數而非預設設定來提示使用者提供額外因子。
提供使用者各種驗證因子。
提供各種多因子驗證選擇,提升使用者的體驗並增加使用率。這樣的靈活性避免了單一驗證方式,讓使用者感到繁瑣或受限。給使用者選擇權可以提高他們對系統的滿意度,並促進整體的採用率。
重新評估多因子驗證部署。
定期執行評估以確保最佳化的多因子驗證部署,以因應當前威脅並持續涵蓋所有存取點。
採取符合標準的方法。
遵循標準以確保多因子驗證系統在現有的 IT 基礎架構內維持最佳的運作狀態。需考量的標準包括遠端使用者撥入驗證服務 (Remote Authentication Dial In User Service , RADIUS),以及開放式身分驗證 (OAuth),對所有網路中的所有裝置使用者進行驗證。
結合使用多因子驗證與輔助安全工具。
結合使用其他存取控制解決方案,例如單一登入 (Single Sign-On , SSO) 和最小權限存取,多因子驗證(MFA)即可提供更強大的安全防護。
MFA 提供卓越的第一道防線
網路攻擊來自四面八方,但終端使用者最常淪為攻擊目標。透過多因子驗證來加強保護終端使用者(End User)的存取點,即便出現可利用的弱點或憑證遭竊,還是有層層防護把關。
借助 AI 及其他技術,多因子驗證仍舊是最有效的終端使用者存取安全解決方案之一。MFA 解決方案可提供有效的安全防護,對於終端使用者和不堪重負的 IT 管理員所造成的影響最小。
