MFA 是一种验证用户身份的方法,它要求用户提供多条身份验证的信息。这种方法提供了附加的安全层,减少了账户被盗取的可能性。MFA 通常需要以下两个或更多的因素:内容: 用户知道的内容,比如密码。

所有物: 用户拥有的东西,如移动设备。

生物因素: 用户的独特属性,例如指纹。

在典型的 MFA 部署中,用户首先使用用户名-密码组合登录应用程序。如果有效,则提示他们输入 MFA。这通常需要通过应用程序的认证,或者短信发送的一次性密码在手机上完成。其他形式的 MFA 需要硬件设备,如 Yubikey,以及特定平台的身份验证器,如苹果产品中的 Touch ID 和 Face ID。

采用 MFA 的一个重要原因是安全问题的出现。数据泄露越来越常见,大量用户名和密码被泄露,安全性变得越来越重要。2019年,29%的数据泄露与凭证被盗有关,1.5%的网络登录与凭证入侵有关。

此外,许多人在不同在线账户上重复使用相同的密码。根据 TeleSign 的数据,71%的账户使用与其他网站相同的密码。攻击者盗取一次数据就能获得大量被破坏的凭证,并在其他站点上测试所有的用户名-密码组合,使用相同的密码盗取帐户。这种类型的攻击称为凭证填充攻击。

MFA 是防止账户被盗取最好的方法之一,无论凭证填充攻击或其他攻击。攻击者如果想要破坏受 MFA 保护的帐户,那他们不仅需要盗取凭证,还需要验证额外附加的因素。 MFA 极大地增加了攻击者入侵帐户所需的时间和精力,这样他们就很难进行大规模的攻击活动。