- 防网络钓鱼 FIDO2 MFA 推送通知适用于任何智能手机,可有效防范绕过 MFA 的攻击
- 可配置身份验证因素,包括安全推送、标准推送、OTP、TOTP、短信和生物识别
- 轻松与各种先进的 IdP 和 IAM 解决方案集成,打造无缝的 MFA 解决方案
借助可以防范网络钓鱼的 MFA,防范员工帐户接管攻击和数据泄露。
Akamai MFA 利用 FIDO2 身份验证安全标准,确保员工能够安全登录云端应用程序、Web 应用程序、本地应用程序、SaaS 和 IaaS 应用程序。它可提供用户友好的移动推送体验,不需要使用昂贵的硬件安全密钥。Akamai MFA 与 Akamai Enterprise Application Access 无缝集成,提供完整的 Zero Trust Network Access (ZTNA) 解决方案。
移动应用程序让智能手机成为漫游的 FIDO2 验证器,可轻松验证用户身份。
Akamai MFA 采用强大的 FIDO2 身份验证安全机制,同时以推送通知的形式带给用户简单便捷的体验。
FIDO2 不与服务器端共享密钥,因此不会受到多重身份验证漏洞的影响。
与 Microsoft AD、Okta 和 Ping Identity 等先进的 IdP 和身份解决方案集成,提供无缝的服务体验。
Akamai MFA 是一个基于 FIDO2 标准的完整多重身份验证解决方案。就同等级别的访问管理而言,企业需要先部署多重身份验证解决方案,然后购买、分发并管理 FIDO2 硬件安全密钥,这会显著增加成本和运营复杂性。硬件安全密钥通常会导致最终用户体验不佳,因为人们时常会丢失或忘记密钥,这时就需要 IT 帮助台的额外支持,从而降低了用户工作效率。
Akamai MFA 具有 FIDO2 MFA 的各种优势,但避免了硬件安全密钥或智能卡带来的成本和复杂性,只需要使用智能手机应用程序便可进行验证,为最终用户提供了愉快、顺畅的体验。
FIDO2 标准是 FIDO 联盟开发的一种身份验证方法,由两部分组成:WebAuthn (W3C) 和 CTAP(FIDO 联盟)。FIDO2 的主要特点是:
Akamai MFA 支持标准平台验证器(例如 Microsoft、Apple 等的验证器)和物理安全密钥形式的漫游验证器。但 Akamai 的真正优势在于,Akamai MFA 移动应用程序可以让智能手机成为漫游的 FIDO2 验证器,也就是 FIDO2 手机安全密钥。这项功能具有以下优势:
Akamai MFA 解决方案使用 FIDO2 身份验证因素来验证最终用户的登录是否合法,以防止员工帐户被盗用。传统的一次性密码、验证码、短信、TOTP 和推送通知等身份验证因素存在漏洞,攻击者可以利用这些漏洞来接管员工帐户。而 FIDO2 身份验证因素没有这些漏洞,不会受到 SIM 劫持、中间机器重放、推送疲劳和其他攻击方法的影响。除了 FIDO2 身份验证因素,您还可以添加生物识别因素,进一步完善访问管理。
Akamai MFA 提供多种不同的身份验证因素,可以支持任何应用场景。您可以选择身份验证需要使用的第二种身份验证因素,包括 FIDO2 手机安全密钥、其他 FIDO2 验证器、标准推送、TOTP、OTP 和短信。为了进一步提高身份验证过程的安全性,除了 FIDO2 手机安全密钥和标准推送因素之外,您还可以将服务配置为使用生物识别因素(例如面部识别)。
Akamai MFA 不但可以集成 Akamai Enterprise Application Access 云 IdP,还可以与 Microsoft Active Directory(支持 ADFS)、Okta、Ping Identity 等先进的 IdP 和身份解决方案轻松集成,从而提供无缝的多重身份验证服务。
攻击者通常会将身份和访问管理作为实施攻击的切入点。其中一种常见方法是使用复杂的网络钓鱼电子邮件,将员工连接到虚假的公司登录页面。这些网络钓鱼电子邮件通常会利用社会工程技术进行强化,例如打电话给员工,声称自己是 IT 人员。然后,攻击者使用获得的用户凭据登录真正的公司登录页面。在使用标准推送多重身份验证的情况下,员工将收到推送通知。如果员工接受通知,攻击者就会获得访问权限。
Akamai MFA 采用 FIDO2 身份验证标准,这意味着即使攻击者获得了员工的登录凭据,员工也不会收到 FIDO2 推送通知。这确保了攻击者无法使用泄露的用户凭据来获取用户访问权限。
是的,可以使用 Akamai MFA 来提供多重身份验证解决方案,提高 VPN 身份验证策略的安全性。您可以在本机环境中安装 PacketFence Gateway 软件组件,以实现 VPN 服务器与其他网络设备的集成。这种集成使用 RADIUS(远程用户拨入验证服务)、LDAP(轻型目录访问协议)或 Microsoft AD (Microsoft Active Directory) 作为主要身份验证方法,并使用 Akamai MFA 作为辅助验证器。通过将 Akamai MFA 与 PacketFence Gateway 集成,您可以在使用 VPN 服务器或防火墙等其他网络元素的外部用户与公司网络之间建立安全通信。
Akamai MFA 支持使用 API 来配置和管理服务。您可以使用 API 来管理以下与用户相关的任务:
多重身份验证和双重身份验证的主要区别在于身份验证需要使用的因素数量。双重身份验证使用两个因素,例如用户名和密码。多重身份验证使用的因素超过两个,例如用户名、密码和 OTP,因此可提供更高级别的安全保障。
单点登录 (SSO) 是一种身份验证方法,允许用户使用一组登录凭据(例如用户名和密码)访问多个应用程序或服务。SSO 不需要用户记住并单独输入每个应用程序的凭据,而是让用户一次性完成身份验证,不需要重新输入凭据便可以访问多个应用程序。Akamai MFA 支持基于 SAML 的 SSO。
详细了解 Akamai MFA 的几种常见使用方式。
攻击者正在将目光瞄准企业员工的帐户,并尝试利用标准 MFA 解决方案中固有的安全漏洞,来绕过企业身份验证过程中的附加安全层。FIDO2 提供了一个安全解决方案,但使用该解决方案需要购买、分发和管理 FIDO2 物理安全密钥,这会增加运营的复杂性和成本,并造成员工体验不佳。Akamai MFA 具有 FIDO2 多重身份验证的各种优势,但避免了物理安全密钥所带来的成本和复杂性,只需要使用智能手机应用程序便可进行验证,提供了愉快、顺畅的最终用户体验。
Zero Trust Network Access (ZTNA) 对于准备采用 Zero Trust 架构的公司而言是一款重要的解决方案。仅靠用户名和密码进行单一身份验证无法充分确保员工登录的安全性,特别是在 ZTNA 中使用单点登录 (SSO) 的情况下,只要一个用户帐户被盗用,就可能导致 SSO 关联的所有应用程序受到影响。
采用 Akamai Enterprise Application Access 确保安全访问,并通过 Akamai MFA 进行严格的身份验证,两者结合可以让企业在部署强大且安全的 Zero Trust Network Access 解决方案时又快又轻松。
员工帐户被盗用的根本原因通常是密码使用习惯不良,例如为个人帐户和公司登录使用相同的密码。许多身份即服务 (IDaaS) 提供商现在都支持不再将密码作为主要身份验证因素,并用其他因素取而代之,例如使用多重身份验证。但是,将一种不安全因素(密码)替换为另一种不安全因素(即标准推送 MFA、短信或一次性密码)只是转移了安全问题,并没有解决安全问题。
将 Akamai MFA 作为无密码身份验证解决方案的重要组件进行部署,可以为用户提供安全、顺畅的无密码身份验证体验,同时强化企业的身份和访问管理,轻松验证所有登录的合法性。
体验 Akamai MFA 的优势:
设置 60 天免费试用版:
需遵守适用的条款和限制。