MFA 多因子認證是什麼？與2FA的差異與好處

 MFA 是什麼？

Multi-Factor Authentication 縮寫作 MFA，意思為多因子認證、多因素認證，或者多重要素驗證，是一種用來確認提出資源存取請求之身份的機制。多因子認證（MFA）顧名思義是指同時透過一個以上的不同方式核實使用者身份。比如說，在登入時，除了輸入帳號密碼以外，還需要透過輸入驗證碼、回答問題、掃描指紋等等其他驗證方法來證明自己是有經過授權的使用者。

絕大多數的網路資安威脅都以未授權的存取資源為目的，因此 MFA 可以說提供了最直接的防護。相比於只用基本帳號密碼進行身份驗證的企業和組織，使用 MFA，企業和組織可以加強對於以下網路攻擊的防禦：

• 暴力破解攻擊：逐一輸入可能的帳號密碼，直到找出匹配組合的攻擊方式。

• 撞庫攻擊：駭客利用使用者可能在不同的網站或網路服務使用相同帳號密碼的習性，將外洩的帳號密碼清單輸入至其他網站或網路服務，尋找匹配的組合。

• 釣魚和魚叉式釣魚：以假電子郵件或網站，騙取使用者的登入帳號密碼。

• 鍵盤側錄（Keylogging）：在受害目標電腦植入監視軟體，記錄鍵盤敲擊資訊，以此方式獲得登入資訊。

• 中間人攻擊（MitM 攻擊）：透過公共 Wi-Fi 等方式攔截資料傳輸，偷取帳號密碼。

在實際應用場景裡，MFA 提升了遠距工作的資訊安全、儲存和處理機敏資料，協助企業落實零信任架構。除了直接降低安全風險， MFA 也能夠在偵測到失敗的登入嘗試時，即時傳送警告或提醒，及早發現網路攻擊、有效加快資安事件回應速度。

驗證是什麼？

在電腦和通訊領域，驗證（Authentication）為確認身份的程序，以確保只有擁有合法權限的使用者、服務或應用程式可以存取資源。登入電子郵件帳戶時，需要輸入帳號密碼，就是一種驗證方式。電子郵件系統預設「帳號」與「密碼」資訊只有帳戶的擁有者，也就是有帳戶使用權限的人會知道。因此系統要求使用者提交正確的帳號密碼組合，以確認該使用者擁有合法存取權限。

MFA 是如何運作？

過去大部分的身份驗證僅仰賴「單一因子驗證」，輸入正確帳號密碼即可存取 IT 資源，驗證使用者身份的效果較差。意圖入侵系統的駭客只需要帳號密碼，就可以未經授權取得存取權限。而啟用 MFA 解決方案後，使用者除了輸入正確帳號後，還另外需要通過至少一個驗證步驟才能成功登入。

【單一因子認證 vs MFA 驗證流程示意圖】

舉例來說，假設有一個遠端工作的員工要存取公司的資料庫，需要輸入員工系統的帳號密碼、掃描指紋，並同時使用 USB 金鑰才能順利獲得存取權限。整個過程就是 MFA 機制。

2FA 是什麼？和 MFA 有什麼差別？

除了多因子認證 MFA 之外，另外還有雙因子認證（Two-Factor Authentication，2FA）機制，同樣可以提升資源存取的安全性。2FA 即為系統同時透過兩種不同的驗證方式，來進行使用者身份核實的程序。也就是說，2FA 為兩步驟的身份驗證機制，MFA 則是兩步驟以上，兩者的差別僅在於確認身份的關卡數量。

【2FA 驗證流程示意圖】

無論是 2FA 還是 MFA，都比單一要素驗證來得更安全。而從定義上看來，MFA 核實身份的步驟可以更多，理應比 2FA 更加安全。但實際上 MFA 跟 2FA 保障資訊安全上的效果取決於所選擇的驗證方法。另一方面，身份驗證程序過於繁瑣，也可能會降低實用性，甚至出現為了省麻煩而鑽漏洞的情況。下面一段，將會整理常見的驗證方式，並介紹如何選擇。

MFA 的驗證方法有哪些？

常見驗證方式

身份驗證方式，通常會稱為驗證要素或驗證因子（Factors），常被使用在 MFA 裡的驗證要素可以分為以下五大類：

1. 知識要素（Knowledge Factors）
   使用者所擁有的知識，例如密碼、身份證字號、預先設定好的安全性題目答案等等。在 MFA 系統中採取知識要素相對簡便，但是知識要素也較容易破解，也容易被駭客在社交工程陷阱中騙取。
   
   

2. 持有物要素（Possession Factors）
   使用者所擁有的物品，包含實體卡片、晶片卡、USB 裝置、智慧手機、金鑰匙等。而一次性密碼（One Time Password，OTP，中文也稱為動態密碼）也算是持有物要素的一種，OTP 大多透過簡訊傳送到使用者的手機。因此有 OTP 也代表擁有系統中認證的手機使用權限，透過這樣的方式核實身份。
   
   所有物要素提升了駭客騙過系統的困難度，駭客必須同時盜取該物品才能順利入侵系統。需要實體裝置的 MFA 認證機制，對於防止網路釣魚盜取登入資訊的效果較佳。但相對地，以持有物要素驗證身份，對使用者來說方便性較低。
   
   

3. 原生要素（Inherence Factors）
   使用者固有的生物特徵，比方說臉部特徵、指紋、掌紋、聲紋、虹膜等。在現實生活中，駭客盜用或假造使用者生物特徵的困難度高，同時又因原生要素認證過程簡便，近年來廣為利用於 MFA 系統中。
   
   

4. 位置要素（Location Factors）
   使用者的地理位置，利用設定特定範圍的地理圍欄（Geo-Fencing）或 IP 位置認證機制確定身份。一般來說，位置要素不會是主要驗證身份的方式，而是作為 MFA 中的輔助角色。
   
   

5. 行為要素（Behavior Factors）
   使用者的習慣行為，像是打字速度、打字模式、滑鼠移動模式、常用瀏覽器、慣用登入裝置等等。目前來說，行為要素還在發展中，和位置要素一樣，多搭配其他較傳統的 MFA 驗證要素一起使用。

如何選擇認證要素

認識完五大驗證要素，以及各項要素的特性後，接著就可以依照企業或組織本身的需求，選擇如何規劃最適合的 MFA 機制。下面整理了選擇認證要素時的五大考量：

1. 資安風險

MFA 的目的為提高資訊安全，降低系統遭未授權存取的機率。因此在選擇 MFA 驗證要素時，首先要考慮的是有哪些潛在的威脅和後果：

• 企業面對什麼類型的資安威脅？

• 預計透過 MFA 保護什麼類型的資訊資產？

• 資料的機密等級為何？以及若受到網路攻擊、資料外洩會造成什麼影響？

2. 使用者體驗

過於複雜的 MFA 會降低使用者意願，反倒讓 MFA 身份驗證形同虛設，因而使用者體驗也是選擇認證要素的一大課題。透過思考以下問題，可以協助提升使用者體驗：

• 整體 MFA 流程是否順暢？

• 所選擇的驗證要素是否容易取得？

• 是否有照顧到不同族群的需求？（例如聲紋辨識不適合無法講話的人。）

• 使用者族群對新科技的上手程度為何？

但過度看重使用者體驗，可能會影響到系統安全性。例如「推播認證（Push Notification）」，只要使用者在行動裝置出現的推播通知中點擊同意，無需再另外輸入 OTP。雖然使用上方便，但常有駭客透過不停傳送推播訊息，疲勞轟炸，直到使用者不勝其煩按下同意按鈕，讓駭客完成身份認證、進一步盜用帳戶。

3. 成本及技術

無論是由內部技術人員規劃執行，或是使用外部供應商服務，設置 MFA 機制都會增加企業或組織的 IT 金錢、時間和技術成本。使用 MFA 之前，除了考量安全性需求，也建議評估預算以及實際執行的困難程度：

• IT 預算有多少？

• 內部有足夠的 IT 技術支援嗎？

• 需要供應商提供什麼類型的服務和技術支援？

4. 適應性

為了因應科技快速進步和市場急劇變化，資訊系統同樣也持續進化。而配合整體 IT 系統的 MFA 機制，也需要能夠適應不同的架構，和系統交換資料、提供身份認證的功能，甚至面對新出現的資安威脅。

5. 合規性

最後，不同的產業可能會有特定的身份驗證要素法律，或是企業／組織內部有自身對於 MFA 驗證要素選擇規範。在選定認證要素前，最好也確認是否有相關的法律和規範應遵守。

自適應 MFA

然而有些時候，難以找到統一的標準，選出適用所有情況的驗證要素。自適應 MFA（Adaptive MFA）也因此誕生。在傳統的 MFA 中，企業會事先選定身份驗證過程中採用的認證要素，所有的存取請求都一視同仁經過相同的身份驗證步驟。自適應 MFA 則會依照個別請求的狀況、評估當下資安風險，自行判斷使用哪些認證要素最為恰當。

自適應 MFA 考量的情況包含：使用者帳戶、使用者角色、連續登入失敗次數、登入位置、裝置類型、登入時間、作業系統、第三方資安威脅情報、IP 位置等等。這些都會被自適用 MFA 的演算法用來判斷個別登入行為的安全性。相比傳統 MFA，自適應 MFA 更有彈性，因應不同情形即時調整身份驗證策略，同時顧及安全需求和使用者體驗。

MFA 就像是多了幾道上鎖的門，減少帳戶遭盜用的機會，為資訊安全把關。各企業組織 IT 系統架構、機敏資料存放與處理方式有別，所需要的 MFA 也會有所不同。晟崴科技提供專業 IT 諮詢與多因子認證解決方案，幫您量身打造最適合的資安防護措施！

立即聯絡晟崴科技幫您量身打造最適合的資安防護措施！