什么是多重身份验证 (MFA) 服务？

虽然与只需要用户名和密码的登录协议相比，MFA 服务的安全性有了相当大的提升，但传统的 MFA 并非万无一失。采用 FIDO2标准的 MFA 服务更不易受到黑客攻击，但使用和管理起来也更加复杂。这就是 Akamai 提供 MFA 服务的原因所在，这些服务可确保出色的安全性，同时提供流畅的用户体验。

80% 与黑客相关的数据泄露涉及用户凭据被盗或密码使用习惯不良，这使得卓越的身份验证技术对企业安全至关重要。各种标准身份验证方法具有明显不同的风险等级，在投资身份验证解决方案之前了解个中差异尤为重要。

高风险：用户名和密码身份验证

当企业仅依靠单一用户名和密码来验证用户身份时，他们极易受到攻击。登录详细信息很容易被盗取、被猜到或被获取。如果攻击者拥有员工凭据，则可以通过直接访问权限轻松绕过此等级的安全防御，或者如果他们知道用户名，则可以通过 撞库轻松绕过此等级的安全防御。 更糟糕的是，许多员工为他们的个人帐户使用与公司帐户相同的密码。如果这些个人凭据遭到泄露，攻击者将使用窃取的密码来攻击公司帐户。

中到高风险：标准 MFA 服务

MFA 功能要求第二级身份验证以验证用户，以此来提高企业安全性。第二个因素可能是用户知晓的信息（如 PIN）、用户拥有的信息（如设备或一次性密码）或者用户的个人特征。最后一个因素可能依赖于生物识别数据，例如面部 ID 或指纹。虽然 MFA 技术大大降低了泄漏风险，但黑客仍然可能通过 网络钓鱼、社交工程、透明代理、SIM 卡调换和其他技术成功访问系统。

低风险：基于 FIDO2 的 MFA 服务

基于 FIDO2 构建的 MFA 服务提供了极为有效的身份验证安全性，FIDO2 是基于标准的强大身份验证方法。该技术使用加密登录凭据对用户进行身份验证，并支持最终演变为完全无密码身份验证。通过保护登录凭据免受网络钓鱼或社会工程攻击，基于 FIDO2 的解决方案解决了传统 MFA 服务的安全漏洞。

FIDO2 MFA 技术的缺点是它需要为每个用户提供物理 FIDO2 安全密钥，从而大大增加了身份验证过程的成本和复杂性。这就是为什么 Akamai 设计了新一代 MFA 产品，降低了成本和复杂性，同时尽可能地降低了风险。

Akamai MFA 是针对工作团队的多重身份验证解决方案，它为云环境、基于 Web 的环境、本地环境以及 SaaS 和 IaaS 应用程序提供了强大的辅助身份验证。Akamai 用智能手机应用程序上的推送通知取代物理硬件令牌，简化了 FIDO2 身份验证过程。端到端加密以及封闭的质询/响应流程提供了出色的安全性，使身份验证过程不易受到网络钓鱼和社会工程攻击。

借助 Akamai 的 MFA 服务，您可以：

• 快速部署卓越的 MFA 解决方案。用户可以将 Akamai MFA 应用程序下载到现有智能手机上，从而消除与分发物理安全密钥或发布兼容硬件相关的延迟。
• 为用户提供流畅的体验，利用他们自己的智能手机并使用熟悉的推送通知。
• 通过部署基于 FIDO2 的解决方案来消除网络钓鱼和社会工程攻击的影响，从而尽可能地降低泄漏风险。
• 无需购买、更换和维护额外的硬件，进而降低了总拥有成本。
• 通过部署强大的身份验证和授权协议来启用 Zero Trust 网络。
• 使用基于 FIDO2 的云 MFA 解决方案，利用其顺应发展以支持未来应用场景的特性，实现具有前瞻性的 MFA 服务投资。

Akamai MFA 与 Microsoft Azure AD 或 Okta 等主要身份提供商 (IdP) 合作，提供更强大的身份验证安全性。当用户在登录时提供正确的用户名和密码时，IdP 连接到 Akamai MFA 以请求生成扇区因素请求。Akamai MFA 会呈现一个页面，允许用户选择第二个因素，然后向用户智能手机上的应用程序发送质询，例如，防网络钓鱼推送。用户确认请求后，Akamai MFA 会将控制权交还给 IdP，然后允许用户访问请求的应用程序或服务。

Akamai MFA 的其他功能包括：

• 允许企业为特定应用场景选择身份验证因素的可配置选项，包括防网络钓鱼推送、标准推送、基于时间的一次性密码 (TOTP) 和短信服务 (SMS)。
• 使用 SCIM（跨域身份管理系统）自动执行用户调配工作流，让管理员了解身份验证事件。
• 自助式用户注册，采用多种顺畅的自助方式，简化用户注册和设备注册，减轻管理员负担。
• 集成 IdP 解决方案，例如 Microsoft Azure、Okta 和 Akamai IdP。