多重身份验证 (MFA) 技术定义 - Microsoft 平台管理 - 博客 - Quest Community

多重身份验证 (MFA) 到底是什么？有哪些技术可用于实现它，它们的优缺点是什么？这个博客回答了所有这些问题。

认证到底是什么？

让我们从基础开始。什么是身份验证？基本上，它是在验证一个人是否是他们声称的那个人。它是 Active Directory 和 Azure Active Directory 的两个关键功能之一。 （另一个是授权，涉及决定用户通过身份验证后可以执行哪些操作。在这篇文章中我根本不会谈论授权。）

在计算的早期，身份验证很简单：如果您想登录 IT 系统，则必须输入用户名和密码。如果您输入的内容与系统存储在其目录中的内容相匹配，系统就会判定您就是您所声称的身份并授予您访问权限；否则，您将被拒绝访问。

随着时间的推移，这种方法变得越来越复杂。例如，Kerberos 等基于密码的现代身份验证系统实际上不再传输密码；他们生成一个提交的身份验证令牌。

但即使有了这些增强功能，基于用户名和密码的身份验证方法仍然存在一个关键弱点：如果有人知道其他用户的密码，他们就无法与真正的用户区分开来。这是一个真实而紧迫的安全问题，因为获取密码的方法有很多种，从有根据的猜测到技术攻击，再到网络钓鱼等有针对性的社交攻击。事实上，系统很难阻止用户跨多个系统重复使用密码或使用易于猜测的密码。

此外，即使攻击者不知道用户的密码，大多数用户名和密码身份验证系统也容易受到重放攻击（攻击者只是侦听身份验证流量并重放它）和金票攻击（在攻击者从易受攻击的系统的内存中转储有效的身份验证令牌）。

什么是多因素身份验证？

那么，什么是多重身份验证？那么，用户名和密码身份验证是单因素的：您只需使用一种方法或因素来验证您的身份——提供您的用户名/密码组合。

双因素身份验证，顾名思义，涉及需要两个不同的因素。它是最基本的多因素身份验证类型，需要两个或多个不同的因素。这通常（尽管不准确）被描述为将“你知道的东西”（你的密码）与“你拥有的东西”（例如手机上应用程序的代码）结合起来。我将使用术语“多因素身份验证”，因为它包括双因素。

多因素身份验证的好处

多因素身份验证通过解决用户名和密码身份验证的主要弱点，使组织及其用户受益。例如，假设我使用了超级秘密密码“CovidSux2021！” ”跨越多个网站，包括我的公司网络和我经常光顾的可爱猫咪照片论坛。不幸的是，猫照片论坛以一种容易破解的格式存储了我的密码，他们遭受了破坏——现在我在该论坛的用户名和密码可以在开放网络上花几美分获得。

如果没有多重身份验证，攻击者可以购买该用户名和密码，对我的工作地点进行一些研究，并推测我可能在那里使用了相同的密码。如果这个猜测是正确的，那么游戏就结束了——他们可以访问我在工作中可以做的一切。同样，他们可能会尝试在不同的银行网站上使用相同的用户名/密码组合；如果他们成功登录，我的帐户可能会被清空。

但对于多因素身份验证，仅仅知道我的密码对他们没有任何好处。他们缺少系统证明他们是我所需的其他因素（或多个因素）。受挫！

MFA技术

那么，如何才能获得这些多因素身份验证的优势呢？以下是最常见的多因素身份验证技术及其在现实世界中的工作原理。

一次性密码 (OTP)

您可能经历过这种情况：您访问一个网站（例如您的银行）并输入您的用户名和密码；然后系统会向您发送一个代码，您必须在短时间内提供该代码才能获得访问权限。每次进行身份验证时，您都必须提供新的身份验证。

提供 OTP 的方法有多种，包括：

• 短信 - 短信是最简单、最普遍的多因素身份验证形式之一。
• 硬件令牌 - 一些企业会向用户发放可根据请求生成 OTP 的设备。对于我们这些上了一定年纪的人来说，带有小液晶显示屏的 RSA 密钥卡是常见的景象。
• 智能手机应用 - 近年来，Google Authenticator、Authy 和 Microsoft Authenticator 等智能手机应用已在很大程度上取代了物理钥匙扣。

智能卡

智能卡是一种物理设备，通常存储经过加密签名的数字证书，当您将其插入或在某些情况下只需将其靠近读卡器时，您要进行身份验证的系统就会读取该证书。现代版本的智能卡包括 Yubikeys 等设备。

生物识别技术

通过生物特征认证，您独特的身体特征是 MFA 方程中“您拥有的东西”部分（有时，它被称为“您是什么”）。在过去的几年里，这通常采用指纹的形式，使用苹果 TouchID 等技术。最近，随着苹果的 FaceID 和微软的 Windows Hello 等选项的出现，面部特征识别已经成熟。

重要的是不要将生物识别技术作为便利性与生物识别技术作为第二个身份验证因素相混淆。例如，Microsoft 特别指出了作为访问设备的便捷方式的 Windows Hello 与作为 MFA 策略的组成部分的 Windows Hello 之间的区别。

无密码身份验证

无密码身份验证是身份验证的前沿，Microsoft 已承诺制定路线图以推动其企业客户朝这个方向发展。

您可能会想，“但是等等 - 无密码身份验证怎么可能是 MFA，因为它删除了密码，而密码是 MFA 的轴之一？虽然 MFA 确实经常使用密码作为一个因素，但这不是必需的。无密码 MFA 使用不同的因素组合：设备注册加上第二个因素，例如 PIN 或生物识别。具体来说，正在使用的设备，无论是移动设备还是工作站，都会被正在验证的系统安全地知晓。然后在设备上本地使用 PIN 或生物识别技术，然后设备向接受身份验证的系统提供最终用户的担保。实际的身份验证发生在设备本地，而不是在正在访问的远程系统上！

让我们看看 Azure AD 的实际效果。我下载 Microsoft Authenticator 应用，然后使用当前的身份验证流程（可能是用户名/密码 + SMS OTP）将使用该应用的手机注册到 Azure AD 中。作为注册的一部分，该应用程序确保我在手机上本地启用了密码或生物识别解锁。这使得 Azure AD 能够识别该电话。

然后，我可以将我的 Azure AD 帐户转换为无密码帐户。当 Azure AD 需要进行身份验证时，它会向手机发送通知，然后我使用 PIN 码或脸部解锁手机以确认身份验证。使用两个因素：我拥有的设备以及我知道的 PIN 码或我拥有的面孔。

请注意，在初次注册后，我从未将身份验证信息传输到 Azure AD；它全部位于设备本地。

对于台式计算机，Windows Hello 企业版的工作方式非常相似。 PC 注册到 Azure AD，然后使用我的 PIN 或面部解锁 PC。同样，使用两个因素。

选择 MFA 技术

您可能会猜到，任何 MFA 通常都优于用户名和密码。然而，各种多因素身份验证方法具有不同的与之相关的权衡。

通过短信进行的 OTP 是最不安全的，尽管它实施得最广泛。为了击败基于短信的多因素身份验证，攻击者可以窃取用户的电话或说服电话运营商将用户的电话号码转移到攻击者控制的电话号码。此外，SMS MFA 很容易受到社交攻击，攻击者会冒充支持人员，说服用户通过电话提供 SMS 代码。

硬件令牌还容易受到物理盗窃和社交攻击，并且对于需要进行身份验证时可能没有令牌的用户来说不方便。

通过手机应用程序进行的 OTP 可能是当前多因素身份验证的“最佳点”——它无处不在，比智能卡更容易设置，而且相当安全。但它也有其负面影响。用户通常可以自行注册多个设备来提供密码，这很方便，但会增加攻击面。更糟糕的是，许多现代密码管理器（如 1Password 或 Apple 的 Keychain）为了方便起见，将 OTP 生成功能集成到密码管理器本身中，因此，如果攻击者能够访问密码管理器，一切就都结束了。

智能卡被认为是一种非常强大的身份验证形式，因为存储在其中的加密密钥受到了很好的保护。事实上，政府机构经常使用智能卡，因为它们有助于确保遵守国防联邦采购监管系统 (DFARS) 等法规。但智能卡对于必须随身携带的用户来说很不方便，而且很容易遭到盗窃。另外，实施往往会带来巨大的管理开销。为了帮助减轻这些缺点，Yubikeys 等现代版本的钥匙卡集成了生物识别技术，并与更广泛的设备兼容。

生物识别技术越来越流行。它们对用户来说非常方便；我从来没有在没有留下指纹或脸部的情况下离开过家——尽管割伤或其他伤害可能会使系统无法对我进行身份验证。生物识别技术也很难被破解，因为它们非常复杂——但如果它们被泄露，你就会陷入困境，因为你无法像重置密码或更换手机那样更换指纹。此外，有人可能会强迫您提供指纹或扫描您的脸部；地方和联邦执法部门是否可以在未经您同意的情况下使用您的生物识别信息来访问您的设备，不同的法院案件对此有不同的裁决，但尚未提交最高法院。

最后，无密码身份验证是一个令人兴奋的选项，目前很安全，并可提供出色的用户体验。然而，许多身份系统并不支持它。此外，实现无密码身份验证工作的关键技术组件是注册设备上的“安全飞地”。众所周知，端点很容易受到恶意软件的攻击，因此设备注册要发挥重要作用，我们需要依靠“计算机中的计算机”。 ” 在 iOS 设备上，这是 Secure Enclave；在 Mac 上，它是 T2 芯片；在 Windows 计算机上，它是可信平台模块 (TPM) 芯片（尽管管理员目前可以在没有 TPM 的情况下设置 Windows Hello 企业版！）。如果在这些系统之一中发现广泛的缺陷，则可能会使设备注册对于整个端点类别毫无意义。

结论

毫无疑问，多因素身份验证通过显着增强安全性使组织和用户受益。事实上，微软报告称，其遥测显示，只需使用 MFA 即可阻止 99.9% 的组织帐户泄露。但始终要求每个人进行多因素身份验证肯定会让用户感到沮丧并降低生产力。采取平衡的方法很重要。

事实上，多因素身份验证最好理解为组织更广泛的安全策略的一个方面。许多专家现在建议开发基于零信任原则的安全策略，并使用 Azure AD 条件访问等工具，这为您提供了很大的灵活性，可以明智地应用 MFA。