信息化觀察網(wǎng)

如今，基于憑證的網(wǎng)絡(luò)攻擊要比以往復(fù)雜得多，這些攻擊往往通過各種方式獲取和填充憑證、用戶名和密碼，實(shí)施攻擊。相較于單因素身份驗(yàn)證（SFA）僅針對(duì)用戶密碼進(jìn)行驗(yàn)證的方式，多因素身份驗(yàn)證（MFA）通過結(jié)合兩個(gè)或三個(gè)獨(dú)立的憑證，來(lái)驗(yàn)證一項(xiàng)交易的合理性，其目的是建立一個(gè)多層次的防御，使未經(jīng)授權(quán)的人訪問計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)更加困難。

MFA顯著增強(qiáng)了身份驗(yàn)證過程，其中較為重要的一點(diǎn)是：智能手機(jī)、硬件多因素身份驗(yàn)證令牌或基于SMS（安全管理系統(tǒng)）電子郵件的身份驗(yàn)證代碼。該身份驗(yàn)證過程不再依賴于用戶名和密碼等基于安全知識(shí)的元素，因?yàn)檫@些元素可能會(huì)被網(wǎng)絡(luò)釣魚或其他惡意技術(shù)破壞。MFA利用其他因素的身份驗(yàn)證嘗試，可以最大限度地減少用戶名和密碼泄露的影響。

本期我們從功能的全面性和應(yīng)用的靈活性等維度，盤點(diǎn)梳理了目前8款熱門MFA產(chǎn)品：

Cisco Duo

今年3月，思科推出安全平臺(tái)Duo無(wú)密碼認(rèn)證，作為其零信任平臺(tái)的一部分，該產(chǎn)品能夠使用戶在密碼之外，通過利用安全密鑰和生物識(shí)別技術(shù)（如蘋果FaceID和TouchID，以及Windows Hello），簡(jiǎn)化和加強(qiáng)訪問受Duo單點(diǎn)登錄（SSO）和第三方SSO及身份提供商保護(hù)的云應(yīng)用認(rèn)證。

思科將無(wú)密碼認(rèn)證與Duo單點(diǎn)登錄相配合，使企業(yè)能夠?qū)?shù)百個(gè)密碼和認(rèn)證整合為一個(gè)用戶對(duì)云應(yīng)用的簡(jiǎn)單登錄，有效降低密碼相關(guān)威脅和漏洞的風(fēng)險(xiǎn)，如網(wǎng)絡(luò)釣魚、被盜或弱密碼、密碼重用、暴力、中間人攻擊和密碼數(shù)據(jù)庫(kù)泄露。

ESET Secure Authentication

電腦安全軟件公司ESET一直從事反惡意軟件和端點(diǎn)保護(hù)產(chǎn)品研發(fā)，其推出的ESET Secure Authentication是一個(gè)功能齊全的MFA解決方案：支持VPN和RADIUS；擁有基于瀏覽器的管理控制臺(tái)；與現(xiàn)有LDAP目錄或基于云的身份存儲(chǔ)集成；靈活的多因素身份驗(yàn)證，例如推送通知或硬件令牌。ESET甚至為希望將其應(yīng)用程序與服務(wù)更緊密地集成的企業(yè)提供API和SDK。

HID Approve

安全身份驗(yàn)證企業(yè)HID Global與RSA是大型企業(yè)和政府中較為成熟的實(shí)體之一。事實(shí)上，在多因素身份驗(yàn)證成為主流之前，HID Global就因其物理安全解決方案（感應(yīng)卡/刷卡和讀卡器）在市場(chǎng)上站穩(wěn)了腳跟。除了硬件和智能卡解決方案外，HID還提供基于軟件的可靠多因素身份驗(yàn)證解決方案——HID Approve，可以在不需要硬件投資的情況下快速部署。HID Approve支持推送身份驗(yàn)證和安全策略，該服務(wù)具有運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）機(jī)制，可以監(jiān)控身份驗(yàn)證嘗試，并幫助企業(yè)組織防止動(dòng)態(tài)攻擊。

LastPass MFA

LastPass側(cè)重于網(wǎng)絡(luò)密碼賬號(hào)管理工具的研發(fā)，LastPass為其密碼管理器和LastPass MFA使用相同的身份驗(yàn)證器移動(dòng)應(yīng)用程序，這是一件好事。LastPass MFA服務(wù)支持VPN、Web應(yīng)用程序、桌面、本地應(yīng)用程序等，并與AzureAD和Okta等常見身份管理平臺(tái)緊密集成。

Okta Adaptive MFA

Okta Adaptive MFA以一個(gè)安全平臺(tái)開始，該平臺(tái)使用從先前攻擊中（針對(duì)Okta服務(wù)和第三方威脅數(shù)據(jù)的攻擊）收集的數(shù)據(jù)自動(dòng)防止身份攻擊。Okta還可以利用該威脅數(shù)據(jù)對(duì)所涉及的風(fēng)險(xiǎn)進(jìn)行評(píng)分，以動(dòng)態(tài)管理應(yīng)對(duì)更強(qiáng)大身份驗(yàn)證因素的需求。除了基于主動(dòng)分析的防御外，Okta還支持用戶簡(jiǎn)化威脅報(bào)告，并向管理員發(fā)送通知或自動(dòng)緩解措施。此外，Okta Adaptive MFA還提供廣泛的選擇和靈活性，以滿足用戶不同的身份驗(yàn)證需求。

RSA SecurID

美國(guó)信息安全公司RSA帶有旋轉(zhuǎn)數(shù)字鍵的RSA硬件令牌，是用于保護(hù)企業(yè)VPN和遠(yuǎn)程訪問的原始多因素身份驗(yàn)證解決方案之一。該公司提供的RSA SecurID不僅支持基于移動(dòng)和硬件的身份驗(yàn)證因素，還支持無(wú)縫身份驗(yàn)證路徑。同時(shí)支持基于風(fēng)險(xiǎn)的動(dòng)態(tài)身份驗(yàn)證策略，以平衡對(duì)額外安全性的需求等。

Silverfort

Silverfort可能是企業(yè)組織之前并沒有聽說過的名字，但它們的MFA產(chǎn)品也在必備清單上。Silverfort不僅提供異常行為檢測(cè)、基于模式的威脅檢測(cè)以及基于風(fēng)險(xiǎn)評(píng)分的升級(jí)身份驗(yàn)證等功能，還能夠?qū)ΤＲ姽芾砉ぞ撸ㄈ邕h(yuǎn)程PowerShell會(huì)話、遠(yuǎn)程桌面和SSH）實(shí)施多因素身份驗(yàn)證。

Twilio Authy

Twilio Authy的主要賣點(diǎn)是通過由大量文檔和社區(qū)支持的強(qiáng)大API實(shí)現(xiàn)的靈活性。Authy不同于其他一些“即插即用”解決方案，但如果企業(yè)組織需要一個(gè)高度靈活和可擴(kuò)展的自定義業(yè)務(wù)應(yīng)用程序解決方案，它可能正是企業(yè)組織需要的服務(wù)。