多重身份验证 (MFA) 解决方案(也称为双重身份验证解决方案)要求用户在获得在线访问应用程序或服务的权限之前满足两个或多个条件。为确保身份验证流程成功,用户必须提交他们了解的信息(比如密码)、他们拥有的东西(比如推送通知)和/或他们的某些特征(比如指纹或面部识别扫描)。
MFA 解决方案可实现安全的网络访问
验证用户的身份是确保企业的网络、数据和系统免受攻击的关键步骤。如今,大约 80% 的数据泄露涉及到凭据被盗或遭到入侵,日渐复杂化的攻击会给企业造成数百万美元的损失,此外还会产生商机损失、声誉损失和业务连续性损失。
相比仅依靠密码的传统身份验证方法,多重身份验证 (MFA) 解决方案有了很大的改进。MFA 解决方案要求提供两种类型的证据来证明用户身份的合法性,有助于大大降低数据泄露的可能性。但 MFA 并非滴水不漏。聪明的黑客可以轻松绕过传统 MFA 解决方案。基于 FIDO2 标准的 MFA 服务提供了更出色的保护,但对于用户和管理员来说,它们更难管理。
Akamai 的 MFA 解决了多重身份验证解决方案的难题,它采用的技术结合了 FIDO2 安全标准与流畅的用户体验,以及易于管理的平台,从而尽可能减轻 IT 管理员的负担。
MFA 解决方案的好处
MFA 技术在授予用户对应用程序和服务的访问权限时,要求用户提供一个以上的验证来源,从而保护网络、数据和用户。使用 MFA 解决方案时,用户必须成功提交不同类别的至少两种身份验证凭据:
- 用户了解的信息。 这种类型的身份验证基于知识,可以是密码或 PIN。
- 用户的某些特征。 这类身份验证基于上下文或生物识别数据。MFA 解决方案可以通过指纹扫描、面部识别、声音或语音模式,或通过上下文(比如从某个地点或在某个时间登录)来对用户进行身份验证。
- 用户拥有的东西。 这种基于令牌的身份验证形式可以是一次性密码 (OTP)、移动应用程序的推送通知、智能卡或密钥卡。
MFA 服务的好处十分显著。使用 MFA 的企业相比未部署此类服务的企业,遭到入侵的可能性要低得多。MFA 能够优化对云、SaaS、本地、Web 和 IaaS 应用程序等所有环境的安全访问。MFA 技术是企业网络安全功能向 Zero Trust 和 SSE 等框架迁移时的重要一环。
但是,虽然传统 MFA 解决方案提供了更出色的保护,以防止数据泄露,但它们仍然可以被攻击者绕过。网络犯罪分子已经开发出相对简单但非常有效的社会工程和网络钓鱼技术,可利用标准 MFA 解决方案的关键安全弱点。为了防御这些攻击,企业可以实施基于 FIDO2 标准的 MFA 解决方案,该标准可以检测非法的 MFA 质询,并使用端到端加密技术,确保只有合法用户才能触发第二因素质询。
Akamai MFA 解决方案
Akamai MFA 服务使企业能够利用 FIDO2 的安全功能,同时消除了使用这一高安全标准所面临的挑战。大多数基于 FIDO2 标准的 MFA 解决方案需要使用物理 FIDO2 安全密钥,既费钱又麻烦。在过去,为了获得基于 FIDO2 的出色安全保障,IT 团队不得不为每个员工购买物理硬件令牌,并管理所有密钥的分配和操作。这要求他们使用和跟踪另一个硬件,会给用户带来不太理想的 MFA 体验。
Akamai MFA 提供了高度安全、可防范网络钓鱼的 MFA 技术,而不需要物理安全密钥。Akamai 的解决方案为 FIDO2 的安全功能实现了数字化,只需要用到一个智能手机应用程序和一个 Web 浏览器,而且还结合了简单易用、人们熟知的推送通知体验(可作为漫游验证器在任何平台上使用)。
有了 Akamai MFA,企业可以:
- 部署一套无法被网络钓鱼和社会工程攻击攻陷的 MFA 解决方案,从而降低风险
- 在现有智能手机上快速部署 MFA 解决方案,避免了通常在需要分发物理安全密钥或发放兼容硬件时造成的延误
- 为用户提供流畅的身份验证体验,利用他们的智能手机并使用熟悉的推送通知
- 通过使用现有的智能手机和 Web 浏览器来实现 FIDO2 安全功能的数字化,避免购买、更换和维护额外的硬件,从而降低总拥有成本 (TCO)
- 通过实施强大的身份验证和授权协议,支持 Zero Trust 安全
- 使用云 MFA 解决方案,利用其顺应发展以支持未来应用场景的特性,实现具有前瞻性的 MFA 安全投资
Akamai MFA 的工作原理
Akamai MFA 通过流畅的推送通知提供出色的安全性。利用 Akamai 的可配置身份验证因素,IT 团队可以选择特定应用场景所需的身份验证形式,包括可防范网络钓鱼的推送、标准推送、TOTP(基于时间的一次性密码)和 SMS(短信服务)。Akamai 还能与市场上优秀的 IdP(身份提供商)解决方案轻松集成,并提供丰富的报告功能,使管理团队了解身份验证事件。为了减轻管理员的负担,Akamai 提供了各种流畅的自助服务方法,使用户能够轻松注册和登记他们的设备。
Akamai MFA 解决方案通过一个简单的六步流程对用户进行身份验证。
- 用户向主要身份验证器(比如 Microsoft Azure AD)提供用户名和密码。
- 在验证凭据之后,主要身份验证器会连接到 Akamai MFA,以生成第二因素。
- Akamai 会显示一个页面,让用户选择一个身份验证因素。
- Akamai MFA 向用户的智能手机发送一个质询,比如防范网络钓鱼的推送。
- 一旦用户做出回应,Akamai 就会将控制权交还给主要身份验证器。
- 主要身份验证器允许用户访问请求的服务或应用程序。
常见问题
MFA 技术使未经授权的用户更难获得对企业网络的访问,从而大大提高了企业安全性。MFA 解决方案也是 Zero Trust 和 SASE 等安全框架的重要组成部分。
TOTP 是指基于时间的一次性密码。它是一种身份验证机制,每 30 秒生成一个唯一的六位数代码。该代码基于用户和身份验证系统之间的共享密钥。它通常用作双重身份验证方法,其中,用户除了输入用户名和密码外,还需要输入该代码。
SMS 指的是短信服务,它是一种从一个移动设备发送至另一个移动设备的文本信息。短信的长度有限,一般不超过 160 个字符。
FIDO2 是由 FIDO 联盟开发的一个开放身份验证标准,使用户能够用生物识别数据或安全密钥代替密码,安全地向网站和应用程序进行身份验证。FIDO2 提供强大的双重身份验证,其设计比基于密码的传统身份验证方法更安全、更易用。
客户为什么选择 Akamai
Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。