何时选择多因素身份验证(MFA)?

官方出品 官方博客
#1

理解 Authing 采用模式可以如何帮助您决定何时、为什么使用MFA?

您可能了解过多因素身份验证 (MFA),或者 (如果您是一个有安全意识的消费者) 经常使用多因素身份验证登录应用程序客户端。您也许知道 MFA 通常比简单地使用用户名和密码登录更安全。但是,当设计自己的应用程序时,什么时候才合适部署 MFA 呢 ?

MFA 部署

MFA 是一种验证用户身份的方法,它要求用户提供多条身份验证的信息。这种方法提供了附加的安全层,减少了账户被盗取的可能性。MFA 通常需要以下两个或更多的因素:

内容: 用户知道的内容,比如密码。
所有物: 用户拥有的东西,如移动设备。
生物因素: 用户的独特属性,例如指纹。
在典型的 MFA 部署中,用户首先使用用户名-密码组合登录应用程序。如果有效,则提示他们输入 MFA。这通常需要通过应用程序的认证,或者短信发送的一次性密码在手机上完成。其他形式的 MFA 需要硬件设备,如 Yubikey,以及特定平台的身份验证器,如苹果产品中的 Touch ID 和 Face ID。

采用 MFA 的一个重要原因是安全问题的出现。数据泄露越来越常见,大量用户名和密码被泄露,安全性变得越来越重要。2019年,29%的数据泄露与凭证被盗有关,1.5%的网络登录与凭证入侵有关。

此外,许多人在不同在线账户上重复使用相同的密码。根据 TeleSign 的数据,71%的账户使用与其他网站相同的密码。攻击者盗取一次数据就能获得大量被破坏的凭证,并在其他站点上测试所有的用户名-密码组合,使用相同的密码盗取帐户。这种类型的攻击称为凭证填充攻击。

MFA 是防止账户被盗取最好的方法之一,无论凭证填充攻击或其他攻击。攻击者如果想要破坏受 MFA 保护的帐户,那他们不仅需要盗取凭证,还需要验证额外附加的因素。 MFA 极大地增加了攻击者入侵帐户所需的时间和精力,这样他们就很难进行大规模的攻击活动。

MFA 行业用例

如果用户访问任何在线信息都需要通过 MFA,那么这很可能会降低使用体验。 这篇将说明,是否采用 MFA 的决定取决于具体的用例,比如特定垂直领域的欺诈和身份盗窃情况的严重程度。对于我们的客户来说,不能简单地因为安全性就决定采用 MFA 的。

通常,我们看到在处理敏感数据的行业 (如保险和银行) 倾向于使用 MFA。这些垂直领域没有额外的身份层,所以对 MFA 的需求迫切。

从行业更广泛的角度来看,MFA 在 B2B 场景中比 B2C 需要更多。这是因为随着法律法规的变化,B2B企业对于身份安全的需求也在不断变化。例如,一个企业旅游公司向政府销售其企业旅游 B2B SaaS 解决方案,以满足其员工的旅游需求。政府需要来自商旅供应商 (包括 MFA) 严格的安全流程,因此他们选择采用 MFA。政府不会关心企业的员工的是否需要进行重复登录,而更加关心身份窃取和通过失窃的数据攻击他们的系统 (尽管用户可能在第一次登录到公司的内部门户时需要 MFA,但是随后在所有内部应用程序中可以直接使用 SSO 登录)。

但如果你的应用是以消费者为中心,以尽可能快地吸引消费者为主要目标,那该怎么办呢? 在这种情况下,MFA 是否会被禁止? 据统计数据显示,直接与消费者打交道的行业 MFA 费率最低,特别是电信、旅游和媒体行业。总的来说,即使在法律、能源、制造和金融科技等被高度采纳的行业,在那些购买 MFA 方案的人中,也只有12%的人打开使用了它。

让客户获得额外的安全保障是身份认证行业的一大难题。谷歌账户提供 2FA 服务近7年后,只有10%的用户选择保护他们的账户。微软的 Office 365 每天遭受1000万次攻击,但只有20%的用户和管理员受到 MFA 保护。最近的 DUO 实验室研究显示,2FA 的使用率只有28%。

寻找平衡: 安全性与用户体验

Auting 专业的服务和营销团队每天都与客户一起研究企业架构和最佳实践,在他们看来,用户体验和安全之间的权衡比 MFA 所涉及的主题要宽泛得多。我们的专业服务团队经常看到对用户体验有着强烈需求的客户,这为我们向客户提供最佳实践创造了挑战。

安全性和用户体验 (至少在身份验证方面) 之间平衡的典型例子,是本地嵌入式登录和将用户身份验证连接到中央服务器的通用登录。本地登录可能会留下安全漏洞,必须针对每个应用程序和操作系统分别进行变更和增强。但它可以提供更多定制选项和更好的用户体验。而在另一种情况下,可以集中变更系统,并同步到所有应用程序和操作系统,对更新和补丁进行集中控制,但可能无法基于每个设备的独特属性进行定制。

对于一些客户来说,用户体验将高于一切。在这些场景中,我们的灵活地提供了定制选项,在保证安全的同时可以满足多元化的需求。

Guardian 如何弥补安全缺口

由于我们看到客户试图在安全性和用户体验之间架起一座桥梁,因此我们创建了自己的 MFA选项,以实现其他选项无法实现的定制。

Guardian 通过推送通知来促进 MFA,让用户无需打开 APP 就可以批准或拒绝登录请求。除了更好的用户体验,这比基于 SMS 的MFA更安全,后者容易受到 SIM 交换攻击。Guardian 甚至可以与 Apple Watch 或 Android Wear 合作。

Guardian 移动 SDK——用于 iOS 和 Android——允许您构建自己的白标签 MFA 应用。这可以用来创有了足够的安装基础,那么您可以在一次更新中将MFA功能部署到所有应用程序中,这意味着您的用户不必下载新的应用程序来注册。

对于还需要考虑易用性和成本的情况,Guardian 通常比第三方选项便宜,并且可以通过 Authing 仪表板上的开关实现。

例外案例:游戏

所以很容易——B2B 用例比 B2C 更有可能使用 MFA。但其实事情并没有想象中那么简单, 以游戏产业为例:

在游戏行业中,用户体验是他们提供所有服务的关键,也许你会认为他们理所应当拒绝 MFA。但事实上,身份安全对于游戏行业也非常重要。游戏玩家通常会将一张或多张信用卡绑定,访问在线游戏和购买优惠,而对于黑客来说,他们的个人信息和信用卡数据就成为了诱人的目标。

《魔兽世界》深知密码被盗对数百万的玩家来说威胁巨大,其公司暴雪娱乐在2008年推出了 2FA(双因素验证工具)。当时,用户可以选择使用或者不使用 MFA 暴雪认证,并且这项服务还需要额外的费用和 €6.00 的运费。

今天,《魔兽世界》的玩家仍然可以购买身份验证设备,或通过智能手机应用程序免费使用 MFA。北美、欧洲和韩国的游戏玩家只要安装了身份认证器,就会获得一只虚拟的 core hound 小狗作为宠物,而安装了身份认证器和 Blizzard SMS Protect 的玩家可以获得更大的背包容量。

随着在线游戏社区中身份欺诈和盗窃现象的增多,Epic 将门槛设得更高,最近向其7,830万 Fortnite 玩家免费提供了 2FA 游戏。该公司通过给使用者奖励游戏局内的舞蹈表情来激励用户注册。这一激励举措不仅让玩家开始保护自己的账号安全,还帮助公司在应用内购项目上获得了10亿美元的收入。Epic 正在率先证明,正确的激励机制可以克服用户体验障碍,至少在游戏行业,这或许是增加 MFA 使用率的一个长期可行的解决方案。

如何知道 MFA 是否适合你的应用

MFA 在游戏领域的成功应用以及 Instagram 最近推出的 2FA 产品表明,激励用户的安全意识可以在用户体验与安全性中间保持良好的平衡。以常见的社交和娱乐方式采用 MFA 可能会缓解 MFA 对于用户体验的破坏。

从监管的角度来看,对数据泄露的罚款金额也正在增加。身份验证不仅需要保持其安全性,它同时也是用户体验、收入、产品的大门,企业为获得客户忠诚度、品牌偏好和更多采用所做出的努力。而 MFA 作为身份体验不可分割的一部分也应该是如此。

总之,当你决定是否为自己的应用程序实现 MFA 时,需要考虑下列事情:

  • 你要保护哪些数据?
  • 与用户体验相比,保护你的安全底线有多重要?
  • 有什么方法可以定制您的安保系统,同时可以为用户创造更好地服务体验?
  • 有没有什么创造性的方法可以激励客户去使用 MFA?
  • 政府法规是否要求你采用 MFA ? 如果是,如何优化用户体验?
  • 如何激发产品的创造力?
  • 没有 MFA 有什么后果?