传统的密码和用户名身份验证可能会使用户容易受到攻击。2010年,一位痴迷于网络跟踪者的名人克里斯托弗·钱尼(Christopher Chaney)收到了许多名人电子邮件。他使用从社交媒体和Wikipedia收集的数据,成功地猜出了50个属于著名女性的个人电子邮件帐户的密码,这些帐户包括Scarlett Johansson,Mila Kunis和Christina Aguilera。他使用这些帐户已有将近一年的时间,并且负责发布Scarlett Johanssen和几位非名人女性的裸照。此后他被判处10年监禁。

几乎每个人的电子邮件地址都已经在某个地方在线公开(幸运的是,有一些方法可以确定这种情况是否发生)。传统的基于密码的身份验证本质上是不安全的。考虑到这两个事实,为客户提供其他保护其帐户的方法至关重要。

两因素或多因素身份验证(2FA或MFA)是一种额外的身份验证方法,这种方法变得越来越普遍。但是,什么是2FA和MFA,它们如何帮助保护您的客户?

什么是多重身份验证?

多因素身份验证和两因素身份验证之间的唯一区别是2FA仅使用可用的附加检查中的两个来验证客户身份,而MFA可能使用三个或更多检查。

更多的检查意味着更高的安全性,但是客户会发现它们繁重,因此明智的是,根据适合该服务或帐户的最低安全级别以及与其他验证检查的频率和接近程度,选择额外的检查数量。

如果客户在其客户旅程中反复不得不进行多次检查,那么他们很快就会感到沮丧,并逐渐流向竞争对手。当然,如果您丢失了他们的数据,他们也将很快成为别人的客户。

在世界朝着工业4.0迈进的过程中,将多因素身份验证用作客户身份和访问管理(CIAM)平台的一部分,可以帮助您建立和维护扎实的客户意见。

有哪些类型的多因素身份验证?

您可以使用许多不同的检查来实施MFA,并且此列表一直在增长。在选择要使用的支票时,请考虑所需的安全级别,客户访问资产最常用的技术类型以及在一定程度上的成本。

短信令牌

这种检查相对容易实施,特别是对于消费者和公众而言,这种检查通常由包含PIN码的文本消息组成。该PIN通常用作传统的用户名和密码验证,然后用作一次性密码(OTP)。

如果您的客户经常从移动设备访问您的服务,明智的做法是为他们提供这种或另一种基于移动设备的身份验证方法,以帮助简化客户的旅程。

电子邮件令牌

此方法与SMS令牌相同,但是代码通过电子邮件发送。由于并非每个人都总是随身携带电话,因此提供此选项是个好主意。如果您的客户的移动设备丢失或被盗,它可以用作备份方法。这也是从任何可以接收电子邮件的平台访问OTP的便捷方法。

硬件令牌

只要密钥保留在客户的手中,使用单独的硬件令牌被认为是最安全的身份验证方法之一。尽管为高价值客户免费提供加密狗可能具有成本效益,但是这种方法更昂贵。商业客户往往更愿意付出更多的努力来使用硬件令牌,并且硬件令牌的采用正在增加。但是,除了银行,保险和投资客户等高价值,高风险客户之外,对任何人都必须强制他们是一个好主意。

用户只需要将硬件令牌插入设备即可使用。如果他们使用移动设备进行访问,则可能需要另一个加密狗才能向其智能设备添加USB或USB-C端口。

软件令牌

通过在移动设备上使用身份验证应用程序,您可以获得与硬件令牌几乎相同的安全级别。本质上,智能设备成为令牌。这可以与Google Authenticator等服务捆绑在一起。

让客户使用第三方解决方案可以帮助鼓励他们使用MFA在您的企业之外提供更多服务,从而提高整体安全性。与携带额外的加密狗以将硬件令牌附加到智能设备相比,它也是一个很好的选择。

电话

获取一次性密码的另一种方法是通过自动电话呼叫。

生物特征验证

拥有智能设备或具有生物特征认证(例如指纹ID或面部识别)的计算机的人可以使用此检查来确认其身份,作为MFA的一部分。与输入OTP相比,生物识别ID验证通常没有麻烦,因此客户发现频繁使用它比使用OTP麻烦。当不可避免地要进行额外检查时,较低的摩擦力使其成为理想的选择。

其他形式的多因素身份验证

您的客户还可以使用其他几种数字验证方法。

社交登录(也称为社交身份验证)是许多用户发现的便捷功能,因为他们通常已经登录到相关帐户。请记住,尽管社交媒体平台是黑客的高价值目标,所以在大多数情况下,社交ID验证不是在用户名/密码之上使用的唯一方法。

安全问题是一种基于知识的身份验证(KBA),其中问题和答案是静态的。问题可以由企业或客户定义,然后客户提供答案,稍后进行验证。动态KBA比静态KBA安全,它使用基于信用记录或交易等数据记录实时生成的问题。

基于风险的身份验证(RBA)也可以与MFA结合使用。通过监视位置,设备乃至用户击键之类的东西,您可以根据安全状况调整MFA检查的频率。RBA有助于避免在客户从其“家用”计算机和位置登录时反复要求他们提供额外的验证。

MFA有多安全?

MFA解决方案的安全性取决于几件事。首先,您需要参与并愿意为客户应用上述解决方案。如前所述,硬件密钥比社会验证提供了更高的安全性,但是它们花费金钱和精力。

确保您的MFA设置遵循一些基本的安全步骤也很重要:

· 确保新用户在首次登录时无法设置MFA。具有有效密码的攻击者可能会窃取该帐户,并通过选择电话号码来设置MFA。
· 确保自动电话使用清晰的消息,让用户知道某人正在尝试登录。
向客户介绍他们选择的MFA方法;确保他们知道在发生问题时该怎么办以及与谁联系。
· 不允许高价值,高风险的客户使用安全性较低的MFA方法(例如社交验证)进行身份验证。
· 确保使用多因素身份验证而不是两因素身份验证。带有SMS和用户名/密码这两个因素的2FA越来越容易受到SIM交换的影响。

归根结底,任何系统都不是100%安全的。MFA的作用是保护您的客户免受最坚定的黑客的侵害,并且比单独的用户名/密码保护他们的行为要好数千倍。

什么是自适应多因素身份验证?

自适应MFA是CIAM提供程序用来根据客户当前正在尝试的操作的风险状况来应用正确级别的身份验证安全性的方法。自适应MFA超出了静态规则列表的范围,并且可以适应要求客户提供最适合用户会话的验证类型。

通过在其他MFA层之上添加基于风险的身份验证作为最终的安全层,自适应MFA可以避免惹恼您的客户,同时使他们的数据免受攻击。通过使用自适应多因素身份验证,您可以放心,确保客户在使用在线服务和产品时感到满意和安全。

多重身份验证的好处

多因素身份验证的好处构成了21世纪现代客户期望从任何管理良好的组织中获得的客户体验的一部分。您可以看到,MFA正在迅速成为我们日常业务的最大科技公司的标准产品。如果无法满足这些客户的期望,您将有失去客户群的风险,而这些客户正在使用CIAM和MFA保护其数据不受损害的公司中。

这是MFA为您和您的客户提供的服务:

· 为客户和员工提供更好的安全性
· 登录更流畅,转换率更高
· 由于额外的安全检查,提高了客户信任度
· 从数据泄露到服务费用的运营成本降低

当然,该列表并不详尽。还有许多次要利益,可能因行业而异。

使用LoginRadius实施MFA

如果要充分利用LoginRadius Identity平台,则需要启用MFA。此过程相对容易,您的客户可以选择使用SMS或Google Authenticator。

首先,确定SMS验证是否足够安全以达到客户的目的。在大多数情况下,SMS验证是可以的,但是在某些情况下,黑客盗窃了电子邮件帐户和手机号码。因此,如果您的客户要处理诸如金融交易或赌博之类的高价值,高风险的任务,则您可能希望坚持使用Google Authenticator,该工具允许使用连接到移动设备的硬件密钥或软件密钥。

LoginRadius管理控制台中只有几步可启用SMS验证,并提供选择自己的SMS模板和SMS提供程序的选项。然后,您可以选择用作第一个验证因素的选项:标准电子邮件和密码登录名,用户名和密码,访问令牌或自动电话。第二个因素当然是SMS发送的一次性密码/代码。

要启用Google Authenticator,您需要在管理控制台中设置ID,以便Google在Authenticator上标识您的网站或应用。然后,您可以设置QR码规范以及MFA是否为强制性。同样,您可以从标准电子邮件和密码登录名,用户名和密码,访问令牌或自动电话中选择第一个验证因素。Google Authenticator在智能设备上支持FIDO 2UF硬件令牌和基于应用程序的软件令牌,因此,如果要启用这些方法,则需要使用Authenticator。

无论您选择哪个选项,如果您有任何疑问或问题,LoginRadius都会随时为您提供帮助。

结论

多因素身份验证为您提供了一种灵活的方式来平衡客户体验和当今的安全需求。它不仅是保护登录过程的最佳方法之一,而且还向您的客户表明您关心他们的安全并认真对待。

Leave A Comment