什么是自适应多步验证?
- IAM 词汇表
- 什么是自适应多步验证?
自适应多因素身份验证(自适应 MFA)是一种安全验证方法,在提示用户通过额外身份验证方式验证身份前,会先对各类上下文因素进行评估。与标准 MFA 不同,自适应 MFA 仅在设备类型、位置或行为等上下文指标偏离用户常规模式时,才会要求用户进一步验证。自适应 MFA 既能帮助保护在线账户安全,又能简化可信用户的登录流程。
自适应多因素身份验证的工作原理
自适应 MFA 会借助上下文数据对实时安全风险进行分析,判断登录尝试是否合法,并确定应采用的身份验证要求等级。当用户发起登录请求时,系统会将用户的 IP 地址、地理位置、访问时间等数据点,与其常规行为模式进行比对评估。基于评估结果,系统会为该次登录尝试赋予相应的风险评分。风险评分分为以下三类:
- 低风险: 如果登录尝试与用户的典型行为模式一致,用户可能只需输入用户名和密码即可获取访问权限。
- 中等风险: 如果用户从新设备登录,或在非惯常时间发起登录,系统可能会要求用户通过额外步骤验证身份,例如输入一次性密码 (OTP)。
- 高风险: 如果系统检测到多项异常情况,例如登录请求来自陌生地点或可疑 IP 地址,用户可能需要采用生物识别等安全性更高的身份验证方式,否则访问将被直接拒绝。
例如,某用户通常于工作时间在纽约通过笔记本电脑登录账户,那么在澳大利亚时区凌晨 3 点通过移动设备发起的登录尝试,将被判定为高风险。系统可能会同时要求用户完成 OTP 验证与生物识别验证,如果用户无法满足这些要求,其访问请求会被直接拦截。
MFA 与自适应 MFA 的区别
传统多因素身份验证 (MFA) 要求用户通过两种或两种以上的身份验证方式验证身份。这类身份验证方式通常包括用户所知信息(如密码)、用户所持物品(如 OTP 验证码)以及用户固有特征(如指纹)三类。传统 MFA 会对所有用户应用一套预设的固定身份验证步骤,不区分用户的风险等级或相关上下文数据。
自适应多因素身份验证则在此基础上进行了扩展,它会通过上下文风险评估来确定所需的身份验证强度。低风险用户遇到的验证提示更少,登录体验更佳;而高风险登录尝试则会触发安全性更强的防护措施。
| 多步验证 | 自适应多因素身份验证 |
|---|---|
| 身份验证方式 | |
| 对所有用户采用统一的验证步骤 | 根据上下文与风险等级动态调整验证步骤 |
| 灵活性 | |
| 对所有登录尝试均执行固定规则 | 可适配各类登录场景 |
| 风险评估 | |
| 未包含 | 内置风险评估功能,利用上下文数据分析风险 |
| 使用案例 | |
| 适用于用户访问行为稳定的基础环境 | 适用于对便捷性与高级安全防护均有需求的动态环境 |
自适应 MFA 的优势
相较于传统 MFA,自适应 MFA 通过聚焦上下文风险评估,能为组织带来多项优势。以下是自适应 MFA 在增强安全性的同时,降低可信用户登录操作成本的具体体现。
提升安全性
传统 MFA 通常与密码、PIN 码等静态凭据配合使用,这类静态凭据更容易遭遇钓鱼攻击与凭据盗窃。而自适应 MFA 会对每次登录尝试进行实时评估,识别可疑操作,并在必要时启动更高强度的身份验证步骤。如果某次登录尝试的异常程度过高,且用户无法完成要求的身份验证步骤,系统会直接阻断访问,从而避免敏感数据被未授权用户窃取。
优化用户体验
当用户从熟悉的位置或设备登录,被判定为低风险用户时,需要完成的 MFA 验证步骤会相应减少。这种快捷登录体验让受信任的用户能够更快地访问他们的帐户,而无需进行不必要的身份验证。通过仅在必要时要求更强的身份验证,自适应多因素身份验证 (MFA) 提供了一种不那么令人沮丧的登录体验,同时不会危及安全性。
降低运营成本
不必要的身份验证提示有所减少后,用户遗忘凭据的概率会随之降低,提交至 IT 服务台的相关工单数量也会相应减少。自适应 MFA 通过减少密码重置请求,以及因高强度身份验证流程导致的账户锁定次数,帮助组织节省大量的时间与资金成本。
如何实现自适应多因素身份验证
在贵组织内部成功部署自适应 MFA,可遵循以下核心步骤:
- 评估业务需求: 根据组织的安全要求、用户角色及访问权限等级,确定自适应 MFA 的优先部署场景。优先为处理敏感数据、包含特权账户,或更容易成为网络攻击目标的系统部署该身份验证方案。
- 选择服务提供商: 挑选符合自身基础设施条件与安全需求的可信自适应 MFA 服务提供商。市场上的主流选择包括 Microsoft Entra ID 与 Duo Security 等。
- 制定上下文风险策略: 制定明确的规则,将登录尝试划分为低、中、高三个风险等级。确定哪些上下文因素(如 IP 地址、设备信息、用户行为等)应触发进一步的身份验证要求。
- 与现有系统集成: 确保所选解决方案与当前 IT 环境兼容,包括单点登录 (SSO) 平台、身份提供商 (IdP) 以及虚拟专用网络 (VPN) 等。
- 开展试点运行: 在全组织范围内部署前,先选取一小部分用户进行自适应 MFA 方案的测试。观察风险评分系统的实际运行效果,验证系统是否能根据上下文信息应用相应的身份验证步骤。
- 开展用户培训: 向全体员工说明部署自适应 MFA 的原因及其为组织带来的价值。务必提前告知用户登录流程可能发生的变化,避免引发不必要的困扰或业务中断。
- 监控与优化: 定期查阅审计日志,根据用户行为变化情况判断是否需要更新风险策略。利用相关数据调整风险触发条件,提升风险等级判定的准确性。
