避免多因素身份认证MFA方案“负能量”的五个关键要素

在“零信任”时代，多因素认证（MFA）技术已经成为现代企业组织加强身份安全管理的“必修课”。然而，当前MFA技术在实际应用中的表现却远远称不上完美，有很多企业的MFA最终成了摆设，甚至成了企业网络安全工作中的“负能量”和“摩擦力”。

研究人员发现，在很多失败的MFA应用案例中，往往并不是MFA产品本身有问题，而是企业在实施部署时存在了至少一种及以上的认知错误或实施错误。MFA技术只有更有效地实施和应用才有意义。日前，BehavioSec公司系统工程总监Marco Fanti根据其MFA项目实际建设经验，梳理总结了有效实施MFA方案的5个关键要素，涉及供应商选择、实施流程控制以及如何获得用户支持等方面。

01选择合适的MFA认证方式

当企业组织开始部署MFA技术之前，首先应该为不同类型的人员确定合适的MFA方法，比如员工、合作伙伴、客户及其他人员等。

常见的MFA认证方法包括如下：

• 基于时间的一次性验证码，主要通过文本或电子邮件发送；
• 通过用户设备上的身份验证程序认证；
• 硬件安全密钥认证；
• 通过生物特征识别技术认证，包括脸部或指纹识别；
• 自适应身份验证，比如通过位置或设备使用情况对用户进行身份验证。

企业应该根据MFA方法对安全与用户体验（UX）的影响来综合权衡其利弊。比如说，短信对用户来说很便捷，但是安全性却难以保证。攻击者可以打电话给供应商，谎称丢了手机，要求把号码换成这个新的SIM卡号，然后接管用户的号码，欺骗使用短信的MFA。因此，建议企业组织能够选择通行密钥（passkey）等安全性更高的认证方式。

02让所有员工了解MFA的应用价值与要求

当企业选定MFA认证方法以后，应该尽快向所有相关人员（包括员工、客户和供应商）说明对安全方面的要求和价值。虽然MFA对安全团队而言并非新技术，但很多业务部门员工和客户可能不了解其具体性质、如何影响他们以及他们该如何处理。

无论组织正是实施的MFA方案功能多强大，所有利益相关者必须充分认知到MFA的优缺点，以及攻击者们会如何绕过这些防御机制。因此，企业必须对所有员工进行培训，以尽快发现和报告使用中发现的异常情况；员工须特别小心他们可能遇到的社会工程陷阱。此外，他们应该使用足够强壮的密码，以避免凭据被盗。

03为可能出现的用户摩擦做好预案

MFA可以帮助企业提高安全性，防止用户账户远离恶意分子，但确实也会减慢用户登录到账户的速度，从而造成业务部门和安全管理团队的摩擦，从而影响到用户体验。此外，采取额外的安全措施有时也会让使用者感到麻烦，比如需要多次查收通过应用程序或电子邮件发送的身份验证码。

当MFA方案实际投入使用之前，企业就应该预料到一些经常会出现的阻力和不满。不过，如果能够通过采取一些积极的措施帮助用户逐渐适应，相关的不满和抱怨就会很快减少。一种办法是采用新一代的MFA认证方法，比如说生物特征识别，既安全又便捷，同时也不会大大延长业务系统的登录过程。

此外，采用行为验证和持续性验证也有利于企业降低MFA技术应用时的阻力。两者都可以在不改变用户与设备交互方式的情况下增强账户安全性。比如说，当IAM监测到用户试图从非经常登录的地方发起访问，就会发出提醒，这样就可以减少对用户体验的干扰。

04对基于身份的攻击活动做好防范措施

MFA是一种防止密码泄露和账户接管攻击的强大工具，但恶意攻击者已学会了如何通过社会工程伎俩绕过MFA认证的控制。为了解决这个问题，企业可以采取很多措施来降低MFA方案被攻击的可能性，包括向用户登录环节添加更多的信息和上下文，包括设备名称、全局ID和设备位置等信息，这样可以让用户对所访问的对象更放心。MFA 方案还应该和特定的URL、设备和主机进行绑定，这样可以有效阻止中间人攻击。此外，企业还可以使用成熟的加密技术来加强MFA方案安全性，并对重置和绕过密码的流程进行严格的管理。

05选择有能力的MFA技术提供商

选择有能力的MFA技术提供商对任何企业有效实施MFA方案非常关键。企业需要根据组织的实际情况和需求，选择综合性MFA服务商，也可以选择专精型MFA方案提供商。

在Fanti给出的实施建议中，将微软公司的 Entra ID（即之前的Azure Active Directory）作为一种功能强大的MFA方案进行了推荐，对于那些已经在使用微软产品企业这是一种不错的选择。而对于很多在身份安全认证方面有更高要求的企业，也可以采用Cisco Duo等方案作为增强的辅助身份验证因素。

对于大量采用了云计算服务的企业，可以关注云身份安全企业Okta，它提供基于云的员工和客户MFA产品，分别是Okta Workforce Identity和Okta Customer Identity，较全面的覆盖了身份验证、治理和生命周期管理等功能。

除了上述供应商，Fanti还提到了ForgeRock、Ping Identity和1Kosmos等供应商，它们的一大特点是可以提供免费的试用服务和开源版MFA产品，企业既可以在采购前充分测试产品的性能，同时也能够在项目实施过程中得到更多的自定义支持和帮助。

参考链接：https://www.techtarget.com/searchsecurity/feature/MFA-implementation-tips-for-organizations