多因子身份认证(或多因素身份认证)MFA 的全称是 Multi Factor Authentication ,MFA 是一种安全系统,是为了验证一项交易的合理性而实行多种身份验证。MFA 的目的是建立一个多层次的防御,使未经授权的人访问计算机系统或网络更加困难,从而加强身份验证的安全性。
与之相对应的是单因素身份验证 (SFA),只需要用户提供一个凭证来通过身份认证,最常用的就是用户名和密码。但是密码口令很不安全,很多人为了便于记忆把所有帐号的密码都设成相同的,一旦在一个地方身份密码被盗,就会危害到很多其他的帐号安全。
MFA 通过结合两个或多个额外的凭证来提供身份验证的安全性和可靠性,常用的 MFA 方案有以下几类:
- 知识型的身份验证
如在一台新手机上登录微信,微信会显示一组用户,让你选择哪些是你的朋友,以此来防止微信帐号被盗用。 - 安全性令牌或者智能卡
常见的如网银U盾或令牌,每一个令牌设备都只跟唯一的用户帐号绑定。 - 生物识别验证
利用指纹、刷脸等来唯一识别一个用户,因为安全性高、不易伪造,随着硬件技术的进步这种方式越来越普及。
因为每个人的手机号码也是唯一的,所以手机短信也经常被用作为令牌口令,来增强身份认证的安全性。因为手机的普及性,短信验证是目前成本最低、最简单便捷的二次验证方式。最近网上有不少文章批露短信验证不安全,例如手机中的木马软件会截获短信,安卓手机上不少应用会贴心地帮你填入短信验证码就是获取了相关的权限从而截获得验证短信;或者是利用 GSM 的漏洞,通过伪基站来监听手机通讯也可以盗取短信验证码。
身份认证管理也是 Workspace ONE 的一个重要功能,Workspace ONE 除了可以跟第三方的多因子验证方案相集成,它也自带了多因子认证方案 VMware Verify。从使用者的角度来看,Verify 就是安装在智能手机上的一个 App,当用户在另外一台设备上登录企业应用时,Workspace ONE 就会通过该用户手机上的 Verify 应用进行二次认证,有两种方式:
- 直接在 Verify 应用界面上批准或拒绝认证请求(下图左),Verify 也支持 Apple Watch,可以直接在表盘上 Approve;
- 把 Verify 作为一个令牌设备,显示一个动态的令牌口令(下图右)。
Workspace ONE 的这一新功能大大提高了用户体验和企业身份认证的安全性,IT 部门也不用考虑去采购和融合任何第三方的 MFA 解决方案了,只需要部署 Workspace ONE 就可以搞定身份认证的所有功能。
