什麼是MFA?
MFA是Multi-factor authentication的縮寫,譯為多因子認證,它的出現是因為傳統的用戶名+口令的認證方式已經遠遠不能滿足安全級別較高的系統認證需求,存儲在資料庫中的用戶名和口令,無論是否被加密,一旦數據被盜取,將會為攻擊者提供一個數據源,攻擊者可以用特定軟體快速暴力破解用戶密碼,使得系統被攻破造成數據洩露或資金被盜。因此需要增加多個認證身份憑證來提高系統認證安全,這些憑證即為多因子認證。
多因子認證有哪些認證憑證?
固化憑證
除了用戶名和口令外,MFA中固化的憑證還能包含CA中心頒發的數字證書、設備出廠指定的設備碼、員工自己擁有的磁條卡或晶片卡、用戶自己設定的PIN碼和密保問題與答案等,這些固化的憑證和用戶身份信息綁定後,都可以作為多因子認證中的認證憑證;
動態憑證
動態憑證目前使用最多的是通過程序後臺隨機生成的4-8位的隨機數字,並通過手機簡訊的方式發送到用戶手機上,作為第二認證憑證。除此之外還有通過TOTP算法生成的動態令牌作為第二憑證的方式比較多,具體展現形式包含通過手機APP中來生成OTP令牌、通過硬體設備來生成動態令牌等;
生物特徵憑證
生物特徵主要是採集用戶的人臉識別特徵、指紋識別特徵、聲音識別特徵、視網膜或虹膜識別特徵來作為認證因子,用戶通過自助綁定生物特徵來確認我就是我後,系統通過識別比對後進行身份認證,實現多因子認證。
MFA認證場景
MFA認證可以使用多種場景,通過API或SDK的形式為系統或設備提供多因子認證,舉例如下:
1. 於用戶登陸PC電腦、伺服器登陸時,通過PIN碼或者人臉識別進行多因子認證;
2. VPN客戶端連接服務時,要求用戶輸入動態口令+密碼的方式進行登陸;
3. 用戶在異動訪問應用系統時,需要進行人臉識別確認是本人才能授權用戶登陸;
4. 企業辦公系統發布到外網訪問,為防止被暴力破解,要求用戶進行手機簡訊或OTP動態口令認證;
5. 用戶在應用系統中,涉及到資金或交易操作時,要求用戶進行人臉識別二次認證;
6. 用戶在登陸研發或生產系統查看或操作涉密文件或數據時候,需要進行指紋或虹膜認證;
7. 用戶在每天或異地收發郵件時,需要進行OTP動態口令。
MFA整體架構
說明:
1. MFA平臺主要提供3個服務,分別為:認證服務、後臺管理服務、SDK服務;
2. 認證服務通過集成人臉識別系統、CA證書系統、簡訊網關等系統,為用戶提供多種多因子認證服務;
3. 後臺管理服務主要管理平臺中組織架構、用戶、角色、設備、應用系統信息,為用戶和應用系統配置採用多因子認證元素,同時提供用戶自助服務,供用戶綁定多因子認證特徵信息;
4. SDK服務為系統集成提供不同類型SDK接入支持。
派拉軟體作為專業的企業信息安全供應商,提供專業的MFA認證平臺,為企業信息安全保駕護航。