漫谈2FA、MFA、SCA的关系
发布时间:2021-10-24 09:18:41|浏览次数:1434
经过多年的迭代升级,双因素身份(2FA)认证几乎存在于我们数字生活的每个角落。大多数消费者现在都很熟悉 2FA 的概念、使用方法以及它的重要性。可以肯定的是,现如今的任何新型数字服务都以双因素身份认证为标准。
但是在过去的二十年,对身份认证方式的更高需求催生了更多种类的实现方式。在某些情况下,这种演变始于仅支持口令的 Web 应用程序。快进到今天:以移动方式优先的应用程序构建在具有安全元件和嵌入式生物识别传感器的复杂硬件上。
除了新技术和身份认证功能外,我们还听到了更多围绕以下术语的声明:多因素身份认证 (MFA)、强身份认证 (SCA) 和身份认证升级(Step Ups)。
MFA、SCA 和 Step Ups 是什么意思?它们真的比 2FA 更好吗?我们来看看这些术语的来源以及它们之间的细微差别。在这篇文章中,我们还将讨论最先进的身份认证方法,供您在下一个项目中参考。但首先,让我们快速回顾一下身份认证的历史。
网络诈骗催生的发明
互联网于 1991 年在 CERN 发布第一个网页后上线,它很快从实验性质的文档共享系统,转变为开发数字营销渠道的基础。各地的企业都开始发布网络应用,从简单的零售网站到主要商业银行。众所周知,这是一场全球性的商业革命。
然而,当时唯一可用的安全选项是最不起眼的口令!这只是一个基于 “所知”单因子。如此容易被猜到、被记录、被盗用和被填充。犯罪分子立即看到了机会并开始进行攻击。保护消费者所需的最基本的安全要求在一夜之间发生了显著变化,安全开发人员面临着打击在线欺诈行为的巨大压力。
口令变成了真实用户和网络身份间唯一的链接,这个链接是如此的脆弱。
因此,如果作为“所知”因素的口令不再足够好,我们还可以使用哪些其他身份认证因素来构建更强的身份凭证呢?
可用于认证的三个因素
· ‘所知’因素
您知道的一些事情:口令和 PIN
· “所有”因素
您拥有的东西:实物证明,例如安全密钥或设备
· “所是”因素
您是什么:物理属性,如生物特征标记
解决方案变得清晰了。如果一次可以结合多个因素,那么经典的口令破解方法可能会被击败。这是 2FA 和认证升级的开始。
什么是 2FA 和认证升级?
2FA 是在现有因素(通常是口令)的基础上添加第二个因素。如果所有应用程序都以口令作为现有认证因素,那么只要添加“所有”或“所是”因素作为第二因素即可。
如果我们在20年前的世纪之交寻求这个问题的解决方案,实际上并没有太多选择。当时生物识别技术的使用仅限于警察用墨垫和纸进行指纹识别。Windows Hello 和 Apple Touch ID 等数字生物识别技术尚不存在。智能手机甚至没有被发明。生物识别技术根本不能够成为一种选择。
当时,解决方案是把重点放在“所有”因素上。通过硬件令牌传递的一次性口令(OTP)的发明,带领大众进入了安全的新世界。小型、基于时钟原理的设备可以产生数学上可预测的代码,这成为一个简单的凭证:必须拥有该设备才能知道口令。
其他 OTP 方法,例如电子邮件和基于 SMS 的OTP,以及软令牌OTP生成器也脱颖而出。黑客当然找到了拦截这些代码的方法,但拥有OTP 的原则仍然是不变的。时至今日,OTP 仍然是主要的 2FA 方法之一。
如果口令是第一要素,OTP 是第二要素,那么就实现了我们所说的 2FA。因此,如果使用口令登录来启动认证,那么执行第二个因素 OTP 的行为是一种递进式身份认证,即“升级”到更高级别的安全性。
2FA 和 认证升级是多因素身份认证的历史基础。以前是一个因素,现在是两个因素。以前处于较低的安全级别,现在处于更高的安全级别。
什么是多因素身份认证 (MFA)?
多因素身份认证 (MFA) 实际上是多种认证因素的广泛组合。可以说它在技术上与 2FA 的定义没有明显区别,2FA 是 MFA 的子集。
但是也有细微差别:MFA 推断出一种更先进且不受约束的方法,更倾向于在我们所有的智能设备上使用生物识别功能。这样做时,MFA就包含了更广泛的身份认证因素组合。完全可以使用“所有”因素(设备上的私钥)和“所是”因素(生物特征)执行身份认证,并且完全不需要任何“所知”因素(口令)。
这是游戏规则的改变者。MFA 意味着不必先输入用户名、口令,然后再添加某种形式的附加因素。
FIDO2如何加强MFA?
例如,如果我们查看FIDO2标准,可以立即实现 MFA,无需用户名、口令和 OTP。“所有”因素是通过设备中的私钥建立的,而“所是”因素是通过解锁此密钥的生物识别技术实现的。这个过程不涉及“低安全性”(口令),因此无需“升级”到更高级别的安全性。MFA通过一个非常简单的用户操作(指纹或面部扫描)实现即刻验证通过。
什么是强身份认证 (SCA)?
强身份认证 (SCA) 是欧盟支付服务规范2 ( PSD2 )制定的一项广泛的 MFA 要求。SCA 用于描述支付的 MFA 要求,以及更广泛的开放银行和开放数据计划。由于共同的意图和目的,SCA 可以与更常见的术语 MFA 互换使用。
2FA、MFA 和 SCA 的主要区别
2FA、认证升级、MFA 和 SCA 都是为了同一个目标。就其核心而言,身份认证的准确性以提供多个身份认证因素为前提。关键的细微差别在于:MFA 和 SCA 本质上比它们的前辈基础 2FA 和 认证升级更安全。
MFA 和 SCA 通常利用智能手机安全芯片和生物识别技术,以更优的用户体验实现强身份认证。在一个已经建立好的信任、风险模型下,MFA有充足的自信可以简简单单完成安全认证。完全信任是从一开始就确定的,而不是从单一因素开始,然后逐步提升到更高安全级别的因素。
SCA 是 由PSD2 定义的,它也正式确定了 MFA 的定义、执行支付和开放银行业务以及实体间开放数据传输的要求。
怎样实施 MFA 和 SCA?
现代实施应寻求建立一种高度信任、高度认证的安全态势,并且在整个客户旅程中最大限度地提升用户体验。基于 FIDO2,国民认证提供了多个身份认证产品,为即使是最挑剔和规避风险的行业也提供了 MFA、生物识别、信任和安全的黄金标准。
UAP是一个直通式 MFA 流程,它可立即跨所有渠道提供 MFA认证,无需用户名、口令和OTP。
IDaaS是一个企业版本的MFA产品,企业用户可以直接使用,关联已有的企业OA软件,面向不同场景,实现无用户名口令的MFA。