什么是多重身份验证 (MFA) 安全防护？

当用户登录以访问应用程序或服务时，公司必须绝对确定该用户是获得授权的员工，而不是攻击者。向未经授权的个人授予访问权违反了 Zero Trust（这种安全模式使企业能够消除隐性信任）的基本原则。

多重身份验证 (MFA) 在用户请求访问时提供了一层额外的保障。除了用户名和密码之外，MFA 安全防护还会要求用户提供额外的身份证明，比如指纹或面部识别扫描、密钥卡、一次性密码或推送通知。

然而，尽管 MFA 安全防护比只依赖用户名和密码的传统身份验证提供了更出色的保护，但它仍然可能被网络犯罪分子绕过。这就是为什么越来越多的企业转为使用 Akamai MFA，来帮助降低员工帐户遭到接管的风险，并防止因凭据被盗而造成的数据泄露。

随着企业寻求更好的方法来保护其网络、数据和用户免受网络攻击，对于 MFA 网络安全解决方案的使用也在稳步普及。

MFA 需要两种或多种形式的身份验证凭据来验证用户的身份。其中包含：

• 您了解的信息。 这种基于知识的凭据可以采取各种形式，比如密码、PIN、象形文字或安全问题的答案。
• 您拥有的信息。 这种基于令牌的身份验证可以是传递到移动设备上的短信代码、验证器应用程序上的推送通知、一次性密码 (OTP) 或者智能卡或密钥卡等物理设备。
• 与您相符的信息。 这是基于上下文或生物识别特征的身份验证因素。身份验证可能基于指纹、面部识别、签名或者声音或语音模式。此因素也可以基于行为、位置信号或登录时间。

实施 MFA 安全防护可显著降低未经授权的访问和系统被入侵的风险。事实上，部署 MFA 服务的公司相比未部署此类服务的公司，遭到入侵的可能性要低得多。

但是，自从 MFA 技术出现以来，网络犯罪分子已经开发出相当简单但有效的社会工程和 网络钓鱼攻击 ，从而绕过 MFA 质询。因此，许多企业正在寻找可防范网络钓鱼的 MFA 安全解决方案。Akamai 可助您一臂之力。

Akamai MFA 代表了 MFA 安全领域的创新。我们的解决方案可以保护您的企业免受网络钓鱼、撞库和帐户接管攻击的影响，这种突破性的 MFA 技术将实现一个安全、真正无密码的未来。

Akamai MFA 利用了 FIDO2（基于标准的强大身份验证方法）。FIDO2 标准创建了在每个网站上都独一无二的加密登录凭据，这些凭据永远不会离开用户的设备，也不会存储在服务器上。因此，几乎不可能通过网络钓鱼和社会工程来破解采用 FIDO2 标准的 MFA 安全机制。

大多数基于 FIDO2 的 MFA 安全解决方案要求企业部署 MFA 服务，以及购买、分发和管理硬件安全密钥。这不仅提高了管理 MFA 服务的成本和复杂性，而且还造成了不太理想的用户体验。当员工丢失或忘记他们的密钥时，要重新获得基本应用程序和服务的访问权，可能会十分费时和令人沮丧。

Akamai 用智能手机应用程序取代物理硬件令牌，解决了这一问题，从而带来愉快、流畅的最终用户体验。当员工收到来自 Akamai MFA 的安全推送通知时，他们可以完全确定它是真实的。

Akamai MFA 使用户能够通过智能手机上的移动应用程序快速轻松地进行身份验证。用户向 Microsoft Azure AD 等主要身份验证器提供其用户名和密码，该 Microsoft 身份验证器会验证凭据并连接到 Akamai MFA 以生成第二个身份验证因素。接下来，Akamai MFA 会显示一个页面，让用户选择一个身份验证因素，然后向用户的移动设备发送一条可防范网络钓鱼的推送。在用户响应后，Akamai MFA 会将控制权传回给主要身份验证器，如果通过验证，则主要身份验证器将允许用户访问所请求的应用程序或服务。

有了 Akamai MFA，企业可以：

• 通过部署基于当前强大安全标准的身份验证技术，进一步降低风险
• 通过现有的智能手机和网络浏览器实现身份验证，而无需另外购买、更换和维护硬件，进而降低总拥有成本 (TCO)
• 允许用户通过自己熟悉的推送通知完成身份验证，进而确保流畅的用户体验
• 在现有智能手机上使用基于时间的 Akamai MFA 应用程序，快速轻松地实施双重身份验证
• 支持企业迁移到 Zero Trust 网络和 SASE 安全框架