技术干货 | 新时代下的MFA

什么是MFA？

MFA是Multi-factor authentication的缩写，译为多因子认证，它的出现是因为传统的用户名+口令的认证方式已经远远不能满足安全级别较高的系统认证需求，存储在数据库中的用户名和口令，无论是否被加密，一旦数据被盗取，将会为攻击者提供一个数据源，攻击者可以用特定软件快速暴力破解用户密码，使得系统被攻破造成数据泄露或资金被盗。因此需要增加多个认证身份凭证来提高系统认证安全，这些凭证即为多因子认证。

多因子认证有哪些认证凭证？

除了用户名和口令外，MFA中固化的凭证还能包含CA中心颁发的数字证书、设备出厂指定的设备码、员工自己拥有的磁条卡或芯片卡、用户自己设定的PIN码和密保问题与答案等，这些固化的凭证和用户身份信息绑定后，都可以作为多因子认证中的认证凭证；

动态凭证目前使用最多的是通过程序后台随机生成的4-8位的随机数字，并通过手机短信的方式发送到用户手机上，作为第二认证凭证。除此之外还有通过TOTP算法生成的动态令牌作为第二凭证的方式比较多，具体展现形式包含通过手机APP中来生成OTP令牌、通过硬件设备来生成动态令牌等；

生物特征主要是采集用户的人脸识别特征、指纹识别特征、声音识别特征、视网膜或虹膜识别特征来作为认证因子，用户通过自助绑定生物特征来确认我就是我后，系统通过识别比对后进行身份认证，实现多因子认证。

MFA认证可以使用多种场景，通过API或SDK的形式为系统或设备提供多因子认证，举例如下：

1. 于用户登陆PC电脑、服务器登陆时，通过PIN码或者人脸识别进行多因子认证；

2. VPN客户端连接服务时，要求用户输入动态口令+密码的方式进行登陆；

3. 用户在异动访问应用系统时，需要进行人脸识别确认是本人才能授权用户登陆；

4. 企业办公系统发布到外网访问，为防止被暴力破解，要求用户进行手机短信或OTP动态口令认证；

5. 用户在应用系统中，涉及到资金或交易操作时，要求用户进行人脸识别二次认证；

6. 用户在登陆研发或生产系统查看或操作涉密文件或数据时候，需要进行指纹或虹膜认证；

7. 用户在每天或异地收发邮件时，需要进行OTP动态口令。

说明：

1. MFA平台主要提供3个服务，分别为：认证服务、后台管理服务、SDK服务；

2. 认证服务通过集成人脸识别系统、CA证书系统、短信网关等系统，为用户提供多种多因子认证服务；

3. 后台管理服务主要管理平台中组织架构、用户、角色、设备、应用系统信息，为用户和应用系统配置采用多因子认证元素，同时提供用户自助服务，供用户绑定多因子认证特征信息；

4. SDK服务为系统集成提供不同类型SDK接入支持。

派拉软件作为专业的企业信息安全供应商，提供专业的MFA认证平台，为企业信息安全保驾护航。