多重要素驗證是什麼？MFA 說明

多重要素驗證（MFA）是一種使用者驗證方法，需要兩個或兩個以上的身份辨識資訊才能存取帳戶或公司資源。多重要素驗證使用的要素分為不同類別，通常包含：

• 使用者知道的東西（如密碼或 PIN 碼）。
• 使用者擁有的東西（如身份驗證應用程式或電子郵件帳戶）。
• 使用者本身（如指紋或人臉掃描）。

MFA 透過多重要素對使用者進行身份驗證，建立了一種分層安全機制，可降低未經授權存取的風險。即使潛在威脅份子取得了第一個驗證要素（密碼），他們也不太可能做到其餘的驗證要求並進入帳戶。

許多企業也看到了使用身份驗證系統的好處，其可根據所涉及的風險要素進行動態調整（亦稱為自適應 MFA）。其使用情境資訊和使用者行為模式來確定與連線相關的風險等級以及要應用的身份驗證要素。

自適應身份驗證所使用的情境資訊可能包含以下內容：

• 使用者試圖連線的位置。
• 用於登入的裝置。
• 使用者嘗試連線的時間。
• 使用者是透過私人網路還是公共網路進行連線。
• 登入失敗的次數。

自適應 MFA 會根據使用者嘗試連線的情境和連線的一般常規情況，提示特定的驗證方法。如果嘗試連線的風險過高，系統可能就會不允許使用者登入或要求使用者提供更多資訊。

多重要素驗證要求使用者提供特定資訊，來滿足至少兩個性質不同的提示。這些提示分為不同類別：第一類通常為使用者建立的密碼，再來則是透過簡訊提供一次性密碼（OTP）或指紋掃描的請求。透過多項證據來證明使用者的身份，可以降低不法份子冒充使用者存取私人或公司資源的機率。

讓我們從 MFA 的初始階段開始了解其運作原理。

註冊

使用者註冊使用 MFA 的帳戶時，必須建立使用者名稱和密碼，並提供任何其他類型的可能驗證項目，例如，電話號碼、電郵地址或指紋。

身份驗證

每當使用者想要存取有 MFA 防護的線上帳戶或資料時，都必須提供使用者名稱、密碼和建立帳戶初期設定的附加驗證提示。其可能是透過簡訊傳送的驗證碼、人臉或指紋掃描。

回應

使用者必須完成所有驗證步驟，例如，輸入收到的驗證碼、按下裝置按鈕，或是透過人臉或指紋掃描來輸入生物特徵資訊。待驗證完所有資訊後，使用者才可存取系統。

多重要素驗證之所以重要，是因為其可增添另一層防護，減少了未經授權的實體存取敏感資訊的機會。隨著越來越多的資訊儲存在各種基於雲端的平台中，單單只靠密碼保護已不再實用。首先，使用者可能會建立若密碼，駭客可在蠻力攻擊或惡意軟體入侵時輕鬆破解。如果您在多個帳戶上使用同一個密碼，駭客取得密碼之後可能會有更嚴重的後果，所有帳戶都遭到入侵。與此同時，即使密碼被盜，額外的 MFA 要素也有助於封鎖對帳戶未經授權的存取。

MFA 提供了一種分層的存取和安全性方法，使企業和個人都能夠受益。讓我們深入了解其主要優勢：

• 安全性提升。MFA 採用多重身份驗證要素，即使第一層驗證（密碼）遭到破解或遺失，也還是可以確保帳戶安全。其是減少網路釣魚攻擊可能造成的損害的有效工具：即使詐騙份子騙取了使用者的密碼，第二層驗證也會限制詐騙份子對帳戶的存取。MFA 最大限度地降低了與密碼外洩、人為錯誤或針對敏感資訊的網路攻擊相關的風險。
• 靈活度和相容性。MFA 提供多種不同性質的使用者驗證方法，如驗證碼或生物特徵資料。企業可以選擇最符合其需求和資產的 MFA 身份驗證方法，以及最方便其使用者的方法。這也是 Nord 帳戶實施 MFA 資安做法的主要原因。企業組織還可以在各種應用程式和存取點上實施 MFA，進而確保各種資源的安全。
• 建立客戶信任。使用 MFA 可以提升吸引力和客戶的信心，因為其驗證方法較少強調密碼，而更強調其他形式的身份驗證。這使得 MFA 系統對於人為錯誤較為寬容。

MFA 驗證方法可以根據使用者存取帳戶的資源進行分類。以下是最常見的身份驗證方法。

知識

知識要素指的是只有使用者才知道的資訊，例如：

• 使用者建立的密碼或 PIN 碼。
• 安全性問題，比如使用者的寵物名或親戚的名字。

一旦使用者將此資訊輸入 MFA 系統，就會進入後續的身份驗證步驟。

所有權

身份驗證方法涉及物品的所有權，使用者透過自己擁有的物品來確認自己的身份。這些物品可能包含：

• 實體裝置，比如手機、平板或硬體鑰匙。
• 數位資產，包含電子郵件帳戶或簡訊服務。
• 身份驗證應用程式，如 Google Authenticator 或 Authy，可產生基於時間的一次性代碼（TOTP）。

在進行身份驗證時，使用者會收到一個臨時代碼，用於輸入到 MFA 應用程式或推播通知中進行確認。使用者完成後，會被允許進入帳戶，或是會收到另一個驗證請求。

固有特徵

固有特徵要素可用來辨識使用者，以下是相關例子：

• 指紋或是眼睛掃描。
• 聲紋或是人臉辨識。
• 按鍵輸入動態，包含打字速度或是裝置的具體使用情況。

要使用此種身份驗證模式，MFA 必須在註冊時收集並儲存使用者的生物特徵資料。生物特徵要素獨一無二，且總是會連結到使用者本人，這使得此一類別成為進入帳戶的最主要障礙之一。

位置

位置要素取決於使用者的實體位置，包含：

• 使用者登入時所在的地理位置。
• 使用者嘗試連線的裝置 IP 位址。

位置驗證方法使用 GPS 座標和網路參數來判斷使用者的位置是否異常。定位參數通常在背景運行。如果 MFA 系統懷疑有異常活動，就可能會封鎖使用者進入帳戶或要求執行額外的驗證步驟。

時間

時間要素會追蹤使用者嘗試登入的時間。其根據以下內容確定使用是否可以存取帳戶：

• 允許使用者存取資源的特定時段。

如果使用者試圖在非正常時間（如半夜）登入系統，MFA 可能就會封鎖連線嘗試或要求進行額外的驗證。

儘管 MFA 是增強使用者帳戶和公司資源安全性的好工具，但其也有一些缺點。以下是需要考量的 MFA 缺點：

• 鎖定。如果使用者遺失或損害了用於身份驗證的手機或其他硬體，MFA 會封鎖其存取帳戶。這可能會嚴重拖慢補救過程，並且需要外部協助才能重新存取帳戶。
• 登入時間增加。滿足 MFA 的要求可能需要花些時間，特別是在系統認為連線有風險的情況下。
• 仰賴第三方。某些驗證步驟可能需要安裝額外的應用程式來向使用者傳送 TOTP 或推播通知，進而佔用到裝置的儲存空間。
• 易受針對性攻擊。雖然 MFA 在抵禦自動網路攻擊方面是一款有效的系統，但對於鎖定特定目標攻擊的駭客，其抵禦能力較弱。潛在威脅份子可以利用使用者行為或精心設計的網路釣魚詐騙，在存取受限制帳戶時遊說使用者進行合作。因此，建議可以搭配帶有威脅防護功能的 VPN 一同使用，進一步降低可能遭受線上威脅的風險。

MFA 和雙重認證（2FA）都會要求使用者多次證明自己的身份後，才允許存取帳戶的驗證方法。兩者之間的主要區別在於系統所需的身份驗證步驟數。

2FA 需要兩種不同形式的身份辨識，通常涉及知識要素（密碼）與所有權（行動裝置）或固有特徵（生物特徵資料）的結合。例如，當使用 2FA 時，系統會要求提供密碼並輸入簡訊傳送給您的代碼或是使用指紋，才能存取帳戶。

相對來說，MFA 會要求使用者提供兩種或兩種以上，與密碼搭配使用的辨識方法。例如，當使用者被要求接受傳送到行動裝置上的推播通知時，MFA 系統還可以檢查使用者試圖連線的位置並評估風險。

2FA 是 MFA 的一個子集，MFA 則提供了更靈活且更強大的解決方案，有助於確定與帳戶的連線是否合理正當。

MFA 可以提供遭月傳統密碼存取系統的強大安全層。MFA 技術使用個性化、基於即時情況的身份驗證方法，使得不法份子入侵帳戶的難度大幅增加。此一功能有助於大幅降低未經授權存取帳戶和資源的風險，而對使用者帶來的潛在不便卻微乎其微。