多因素身份验证 (MFA) 是一种身份验证方法，要求用户除了密码以外至少再提供一个身份验证因素，或者至少提供两个非密码的身份验证因素，才能访问网站、应用或网络。

由于黑客需要破解多个身份验证因素而不仅仅是密码，而其他类型的因素比起密码更难盗取或伪造，因此与单因素（用户名和密码）身份验证相比，MFA 能够更有效地保护组织免受未经授权的访问。

MFA 已成为许多组织的身份和访问管理战略的基本组成部分。 在许多行业和政府机构中，这通常是强制要求或推荐的身份验证方法。 大多数员工或互联网用户都遇到过 MFA 的一种子类型，称为双因素身份验证 (2FA)，要求用户提供密码和第二种因素 （ 通常是发送到手机或电子邮件的验证码 ） ，才能登录到系统或网站。 其实任何使用银行卡和个人身份识别号码 (PIN) 访问 ATM 的人都是在使用某种形式的 MFA。

MFA 在两个层面上挫败黑客的企图。 在最基本的层面上，破解两个或更多的因素比仅仅破解一个因素更困难。 但任何 MFA 方案的最终强度取决于它要求用户提供的身份验证因素的类型。

知晓因素：用户知道的事情

知晓因素是理论上只有用户自己知道的信息，例如密码、PIN 以及安全问题的答案等。 知晓因素既是使用最广泛，也是最脆弱的身份验证因素类型。 黑客可通过网络钓鱼攻击，通过在用户设备上安装击键记录器或间谍软件，或通过运行脚本或机器人来生成和测试可能的密码直至成功，来获取密码和其他知晓因素。

其他知晓因素并没有给黑客带来太大难度。 如果黑客了解用户，或者在社交媒体上做些研究，就能破解某些安全问题的答案。 其他因素也可能相对容易猜到。 难怪，根据 IBM 的《2022 年数据泄露成本调研》，在 2022 年，被破解或盗取的凭证成为最常被利用的初始攻击媒介。

一个常见的误解是，构成 MFA 需要两个知晓因素，例如密码和安全问题的答案。 提供第二个知晓因素可以在一定程度上增强安全性，但真正的 MFA 需要使用两个或更多个类型的因素。

拥有因素：用户拥有的东西

拥有因素是用户拥有的实体物体，例如被授权开实体锁的钥匙或 ID 卡、安装了身份验证应用程序的移动设备，或包含身份验证信息的智能卡。

许多 MFA 实现使用称为“手机即令牌”的方法，由用户的手机接收或生成需要成为拥有因素的信息。 如上所述，MFA 通常以短信、电子邮件或电话呼叫等方式，向个人的手机发送一次性密码 (OTP)。 但 OTP 也可通过特殊的移动应用（称为身份验证应用程序）生成。 一些身份验证系统发送推送通知，用户只需简单的点击即可确认自己的身份。

其他 MFA 解决方案使用物理令牌或专用的硬件安全密钥。 一些物理令牌插入计算机的 USB 端口，将身份验证信息传输到登录页面。 另一些则生成 OTP 以供用户输入。

与知晓因素相比，拥有因素具有几个优势。 恶意行为者需要在登录时具有用户拥有的因素才能假冒用户。 由于接收短信（短信）和运行应用 (IP) 分属两个不同的网络，因此黑客必须截获两个不同的通信通道才能窃取凭证。 即使黑客可以获得 OTP，也必须在 OTP 到期之前获取和使用它，而且不能再次使用。   

但这也存在风险。 因为物理令牌是物体（通常是小物体），所以可能会被盗、丢失或放错地方。  虽然窃取 OTP 比传统密码更困难，但它们仍容易受到狡猾的网络钓鱼或中间人攻击，或者 SIM 克隆的攻击，即恶意行为者创建受害者手机 SIM 卡的功能复制品。

固有因素：作为个人的用户所独有的东西

固有因素，也称为生物特征识别因素，是用户所独有的物理特征或特点。  一个人的指纹、声音、面部特征或虹膜和视网膜图案都是固有因素的例子。 如今，许多移动设备都可通过使用指纹或面部识别来解锁；一些计算机可使用指纹将密码输入到网站或应用。

固有因素是最难破解的因素。 它们不会被遗忘、不会丢失或放错地方，而且很难复制。

但这并不意味着它们是万无一失的。 如果固有因素存储在数据库中，则可能会被窃取。 例如，在 2019 年，一个包含 100 万用户的指纹的生物特征识别数据库遭到入侵。 理论上，黑客可以窃取这些指纹，或者将他们自己的指纹与数据库中另一个用户的个人档案关联起来。

当生物特征识别数据被破解后，无法快速或轻松地更改，从而导致受害者难以阻止正在进行的攻击。

行为因素：用户所做的事情

行为因素是基于行为模式验证用户身份的数字工件。 用户登录到应用时通常所处的 IP 地址范围或位置数据就是行为因素的例子。

行为身份验证解决方案使用人工智能，确定用户正常行为模式的基线，然后标记异常活动，例如来自新设备、新电话号码、新 Web 浏览器或新位置的登录。 这也常用于自适应身份验证（也称为基于风险的身份验证）方案，在自适应身份验证方案中，当风险发生变化时，身份验证要求也会随之改变，例如当用户尝试从不受信任的设备登录时、尝试首次访问某个应用时，或者尝试访问特别敏感的数据时。

虽然行为因素提供了一种先进的方法对用户进行身份验证，但这需要部署大量的资源和专业知识。 此外，如果黑客获得了可信设备的访问权限，则他们可将行为因素作为一种身份验证因素加以利用。

由于被破解的知晓因素是网络安全违规行为中最常见的初始攻击方向，因此许多组织都在探索无密码身份验证。 无密码身份验证依赖于拥有因素、固有因素以及行为因素来验证身份。 无密码身份验证有助于降低网络钓鱼攻击和凭证填充攻击（黑客使用从一个系统窃取的凭证，获取另一个系统的访问权限）的风险。

尽管无密码身份验证消除了身份验证链中公认的最薄弱的环节，但拥有因素、固有因素和行为因素的弱点仍然存在。 组织可通过实施一种方法，要求用户必须提供多种类型的非知晓型身份验证凭证，以缓解这些弱点的风险。 例如，要求用户提供指纹和物理令牌可构成无密码 MFA。

为了应对汹涌而来的网络攻击，政府和政府机构已经开始要求处理敏感数据的系统实施 MFA。 2020 年，美国国税局 (IRS) 强制要求在线报税系统的供应商实施 MFA。 2021 年，约瑟夫·拜登总统关于《改善国家网络安全》的行政令要求所有联邦机构实施 MFA。 一份后续的备忘录要求所有国家安全、国防部和情报机构的系统在 2022 年 8 月 18 日之前实施 MFA。

一些行业法规，包括《支付卡行业数据安全标准》(PCI-DSS) 特别要求处理信用卡和支付卡数据的系统实施 MFA。 许多其他法规，包括萨班斯-奥克斯利法案 (SOX) 和 HIPAA，强烈建议将 MFA 作为确保合规性的关键要素。 多年来，一些州级法规已强制要求实施 MFA。 未遵守纽约州金融服务管理局 (NYDFS) 2017 年网络安全法规第 23 NYCRR 500 号中的 MFA 规定的企业面临最高 300 万美元的罚款 （链接位于 ibm.com 之外）。

单点登录 (SSO) 是一种身份验证方法，允许用户通过一组登录凭证访问多个相关的应用和服务。 用户登录一次，SSO 解决方案对其身份进行验证并生成会话身份验证令牌。 该令牌作为用户的安全密钥，适用于各种相互连接的应用和数据库。

为了缓解依靠单一一组登录凭证访问多个应用的风险，组织通常要求对 SSO 进行自适应身份验证。 自适应 SSO 将自适应身份验证的功能应用于 SSO 方案。 如果用户在尝试通过 SSO 登录时或在其 SSO 认证的会话期间表现出异常行为，他们会被要求提供额外的身份验证因素。 异常行为的例子可能包括通过无法识别的 VPN 进行连接，或访问用户会话身份验证令牌未涵盖的应用或数据。

零信任网络安全架构（从不信任并且始终验证用户的身份）通常使用自适应 SSO 和 MFA 组合进行身份验证。 通过在整个会话过程中持续验证用户身份，并根据风险要求提供额外的身份验证因素，自适应 SSO 和 MFA 可在不妨碍用户体验的情况下加强访问权限管理。