什么是防网络钓鱼MFA(Multi-Factor Authentication 多因素身份验证)？

最近有一个比较新的术语，称为“防网络钓鱼MFA(Multi-Factor Authentication 多因素身份验证)”。它到底是什么，有什么好处，对你和你的组织意味着什么？这个概念可能乍一听有点唬人，所以让我们从最基础的讲起——身份验证。

身份验证是确认某人身份的过程。换句话说，你真的是你自称的那个人吗？每次使用用户名和密码登录网站时，你都在进行身份验证。身份验证通常与权限对应。一旦你通过身份验证（例如，你的身份已被确认），权限将决定你可以做什么以及不能做什么。我们今天讨论的只是身份验证部分。

传统的身份验证是用户名和密码的组合。用户名用于表明你是谁，密码用于确认你的身份。密码的问题在于，人们有时无法利用好密码，也相对容易被黑客破解。密码可以通过多种方式泄露，包括获取你密码的钓鱼网站、记录你键盘敲击的恶意软件、使用容易被猜出的弱密码、多个平台帐户重复使用同一密码等。密码已被证明是一种较弱的身份验证形式。虽然在十到二十年前它们表现“优秀”，但现在已经不够安全。

因此，一种更强大的身份验证形式被开发出来，称为双因素身份验证。它的名字意味着需要两个因素，通常是你知道的东西（密码）和你拥有的东西（移动设备）或你的特征（生物特征）。这样，如果你的密码被泄露，那么你的身份仍然安全，因为网络攻击者无法访问第二种认证方式（例如你的移动设备）。这个概念类似于取款时的ATM卡。要成功取款，你需要ATM卡和银行卡密码（这就是没有人会在银行卡上写上自己的密码的原因）。

这种多重验证是一种更强的方法，许多组织和网站都在采用这种方法。事实上，多因素身份验证正在迅速成为一种标准，因为它在阻止基于身份验证的攻击方面非常有效，但有几个问题。

首先，是称呼问题。最常见的术语是多因素验证，因为涉及两个因素。其他名称也包括两步验证、强身份验证和一次性密码（OTP）。然而，大多数行业似乎对多因素身份验证（MFA）一词进行了标准化。很多时候，人们会感到困惑，认为它们之间存在差异（而且可能存在差异），但总的来说，这些术语指的是同一件事，我们将使用MFA一词。

这种解决方案不仅有不同的名称，而且它们以许多不同的方式实现。多因素身份验证实现的三种最常见的方式如下。你首先使用用户名和密码登录到你的帐户，然后

1. 一个唯一的验证码被发送到你的移动设备。

2. 在移动设备上的移动应用程序中生成唯一验证码。

3. 将唯一验证码或请求推送到你的移动设备。

多因素身份验证还有其他变体，但几乎所有变体都有一个弱点，即需要与人之间的互动。你必须对验证码做些什么。在需要与人交流的时候，就有可能会被欺骗。换句话说，黑客可以伪造身份验证的过程。受害者登录网站后，在受害者获得其唯一的验证码后，诱骗受害者发送验证码，网络攻击者并将其用来访问网站。换言之，这些多因素身份验证方法是可以被破解的。

现在，在我们恐慌之前，这些多因素身份验证方法中的任何一种都比仅使用密码要好得多。我们是否应该停止使用多因素身份验证，因为它们是可以被钓鱼的？绝对不是，网络攻击者只会更好地利用这其中的人性方面。

防网络钓鱼多因素身份验证，还是我们刚才描述的相同的身份验证过程，但人为因素被排除在等式之外。实现这一点有几种不同的方法，我将介绍最常见的方法，即FIDO。

FIDO（fast identify online在线快速身份验证）是多年前由FIDO联盟（一个由世界各地多个组织组成的非盈利团队）创建的标准。这是一个供应商中立的标准，被多数大公司采用，包括谷歌、亚马逊、微软和苹果。如果你听到人们谈论“WebAuthn（FIDO 2.0的组成部分）”，那就是支持并帮助实施FIDO标准的技术。FIDO和WebAuthn在高层引用了相同的解决方案。那么这是如何工作的呢？

在线创建帐户（或更新现有帐户以使用FIDO）时，你可以在网站上注册设备。此设备可以是一个特殊的令牌（如YubiKey是，一个用于二次身份验证的小型USB设备），也可以使用移动设备（如智能手机）作为令牌。当你注册设备时，你的设备和网站将为你的帐户创建唯一的加密密钥对（称为非对称加密或公钥加密）。你不需要知道技术细节，但发生的事情是基于这个密钥，该网站现在“知道”并信任你的设备。在将来登录网站时，你只需使用设备登录，通常不需要密码。

从用户的角度来看（不同的网站和设备不同），当你访问创建帐户的网站时，它会要求你使用设备验证自己。实现这一点的方法包括将设备连接到计算机的USB端口或使用NFC（近场通信）等无线技术。为了确保你真的使用了你的设备（而不是有人窃取你的设备并试图以你的身份登录），你将被要求用生物特征（指纹、面部扫描等）来证明你真的是你。从用户的角度来看，整个认证过程只不过是生物特征识别。

之所以如此有效，是因为没有独特的代码可以用来钓鱼或欺骗人们。几乎所有的事情都发生在你的设备和网络之间。唯一的交互是生物特征识别，这是人们每天都在做的事情。所以，我们的解决方案不仅更安全，更能抵御网络钓鱼攻击，而且更易于人们使用。这项技术是否消除了所有风险？不能。随着这项技术的广泛部署，肯定会有新的攻击方式，但对黑客来说，这将更加困难。

密钥是FIDO联盟成员赋予这种新形式认证的名称，包括苹果、谷歌和微软。事实上，苹果发布了作为iOS16和Mac OS Ventura的一部分的密钥，预计其他大公司将很快宣布这些功能（如果他们还没有）。希望这能让你了解什么是“防网络钓鱼”多因素身份验证。

PS：作为补充说明，我想澄清一件关键的事情。FIDO极易抵御网络钓鱼攻击，但采用FIDO并不意味着你的组织能够抵御网络钓鱼。大量网络钓鱼攻击与密码无关（受感染的电子邮件附件、BEC、呼叫此电话号码攻击等）。我提出这一点是因为我看到一些组织暗示“我们正在采用FIDO身份认证，这意味着我们不会被欺骗”。一些最有效的钓鱼电子邮件只有一两句话和一个电话号码供受害者拨打。因此请记住，“防钓鱼MFA”或FIDO等标准是非常强大的身份验证机制，对钓鱼攻击具有很强的抵抗力，但大量钓鱼攻击与身份验证完全无关。