编辑导语：随着互联网的发展，网络安全越来越受到人们的重视，互联网企业唯有重视网络信息数据安全，才能更好得留住用户，那么企业该如何搭建防护墙呢？本文作者依托于两个案列，讲解了MFA对因素认证对账号安全的保障作用，一起来看看吧。

随着用户增长逐步放缓，新时代的互联网业务必须要更加注重服务质量的提升才能留住用户了。其中首当其冲的就是账户安全，如果你也对此比较关心，那我想请你和我一起来学习了解MFA多因素认证。

首先，我将以两个案例的代入来让大家更好地理解MFA多因素认证对账户安全的重要性。

一、王校长的大众点评账号被盗

相信大家都记得前一段时间王思聪与大众点评的账号风波吧。我们来简要回溯一下：

2021.10.10日王校长在微博上发了这么一段话，原话是这样的【@大众点评 这就是上万亿市值公司的安全系统吗？莫名其妙我自己的号就能被被人改绑手机？你们大众点评除了会恰烂钱做虚假分数还会点啥？】

当王校长想要用自己的手机号码进行登录的发现，登录不上，提示：【由于你在2021年10月9日通过美团将大众点评账号“王思聪”绑定的手机号更新为：137****2797，因此你需要使用新手机号重新登录。】这明显就是手机号被别人换绑了，导致真正的账号原主人登录不上。

那么问题来了：如果不是王校长本人换绑的手机号，又是谁替他换绑的呢？

微博上有个同学爆料并录视频记录了整个环节，从而揭开了问题的谜底。简单说，你只需要知道某个点评/美团账号的手机号码以及身份证生日，就可以通过如下几步操作完成解绑并重新绑定新手机号：

1. 登录页面点击底部的「遇到问题」，然后选择更换手机号。
2. 接下来只需要输入原来的手机号、生日和新手机号，就可以完成重新绑定，非常简单。

整个过程毫不设防，只需要知晓手机号和生日即可完成，确实如王校长所说：这个安全机制的设计实在太过草率了。

现在美团点评已经认识到这个错误并且修正了，这是个好事。但我们不禁想问，连一向以技术实力著称的头部互联网平台对待用户的安全都如此草率，那其他平台是不是也同样草率呢。以及，显然这个问题的受害者绝不在少数，而此次如果不是王校长这么个“知名人士”，美团点评又要到什么时候才能修补这个问题漏洞呢？

如果仅仅是个普通的生活服务类APP来说，还勉强罢了。如果是涉及到个人资金和重要隐私信息的APP，以及企业面向自身员工的内部服务 APP，也出现同类问题的话，后果会是怎么样呢？

我们再来看第二个案例。

二、编程高手黑入APP后台窃取超62万条个人信息

新婚燕尔的编程高手小蔡，去4S店买车的时候，看见销售员在自家电脑上登录了管理系统，小蔡不留神地记住了销售员当时输入的账号密码。回家后心想试一试能不能登录汽车公司后台呢，就使用记住的账号密码顺利进入了该汽车系统，心生邪念，利用爬虫手段获取了APP内的626182条客户的个人信息，其中包括了客户姓名、身份证号码、联系电话、信贷信息等等。有惊无险的是，信息还没有被卖出，就被抓住了。

这究竟该怪谁呢？可能你心里会有这几个小嘀咕：

【如果不是销售员泄露了账号密码，那是不是数据就不会被盗呢？】

【如果密码设置的难一些，别人即使看到了，是不是也不容易记住呢？】

【如果汽车公司的登录系统做的再复杂一些，除了校验账号密码以外，再校验下其他某个只有销售员才知道的信息，那数据是不是就不会被盗呢？】

微村智科创始人郭欣表示：作为投资人，原来我们听到拟投企业说自己积累了大量数据，会觉得这是企业建立的壁垒。

现在，我们再听到同样的说法，我们会追问：“数据来源是否合法？”“有没有数据泄露风险？”“怎么保障数据的安全？”“有没有买数据安全产品？”

数据不再是多多益善的资产，更附带上了合规成本以及安全维护成本。

相信这类事件对所有人都是个警醒。那我们是不是该有一些更深刻的反思呢？如何从根本上来提高账户的安全性呢？

为什么互联网的元老【账号密码】方式就不安全了呢？

根本原因有两种：

1. 记忆本性

人们总是偏向于创建自己能记得住的密码。然而这正是漏洞所在，也是大多数企业想要防止的事情。

企业总是希望自己的用户能将密码的难度提高，以防止攻击者的闯入，然而人的记忆本性是无法记住复杂信息的。据统计，15％的人用宠物的名字来当做密码。其他常见的密码规则包括生日等重要日期以及姓氏等。十分之一的人会跨APP重复使用口令，40%的人表示他们使用了格式化的口令，例如Fall2021，最终成为 Winter2021 或 Spring2022。

2. 黑客攻击

上述简单的密码可能更容易记住，但黑客也更容易猜到。一旦账号密码被泄露，通常会在网络黑市上出售，用于大数量级的攻击。黑客也有很多工具和技术。他们可以使用自动密码嗅探工具尝试多种可能性。也可能利用网络钓鱼，让你将账号密码录入一个假网站。这些策略相对来说并不复杂，已经使用了几十年，但它们仍然有效，因为仍然是由人类创建的。

美国网络安全和基础设施安全局 （CISA）将只有账号密码的登录方式视为“异常危险”。如下所说：

单因素身份验证意味着用户名和密码授予用户访问权限，无需其他任何要求。据 CISA 称，这是一种非常普遍的高风险做法。微软透露，其云服务每天有大约 3 亿次欺诈性登录尝试。即使是八位字符的密码——混合了数字、大小写字母和特殊字符——也相对容易破解。

许多员工在公司管理系统中，在多个帐户中重复使用基本相同的密码。这是个不争的事实。

员工希望以尽可能少的复杂性来完成他们的工作，因此他们可能倾向于创建变化最小的密码，以便他们可以记住的密码。

我们需要找到平衡用户需求与密码安全的解决方案！

密码之所以重要，是因为其保护的是关键业务帐户、网络访问或敏感数据，如此重要的信息却依托于如此脆弱的安全机制，是极其失衡的。

因此企业必须考虑，如何在不过分伤害用户体验的同时，加上一些其他的验证手段，来保证登录账号的人就是真实的本人。这些验证手段，应该只有本人才能得以操作，从而保障在做重大操作的时候确保是本人在进行。这就是MFA。

MFA全称：多因素认证（Multi Factor Authentication，简称 MFA）是一种简单而有效的安全实践方法，它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后，用户进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要进行第二次乃至多次身份验证，多因素身份认证结合起来将为你的帐号和资源提供更高的安全保护。

三、MFA有哪些？

MFA 使用两个或多个因素的任意组合来验证身份，并保护重要资产免受欺诈访问。从原理上来来讲，MFA主要利用如下三个主要因素来确认身份：

• 用户拥有的东西 — 实物，例如银行卡、身份证、U 盘、设备。
• 用户知道的东西—一个“秘密”，比如密码或 PIN。
• 用户是谁—生物特征，如指纹、声音、虹膜扫描和其他生理特征。

在典型的 MFA 部署中，用户首先使用用户名-密码组合登录应用程序。如果有效，则提示他们进一步进行MFA认证。采用 MFA 最重要的原因和目标就是账号安全问题。账号问题引起的数据泄露越来越常见，安全性变得越来越重要。2019年，29%的数据泄露与凭证被盗有关，1.5%的网络登录与凭证入侵有关。

此外，许多人在不同在线账户上重复使用相同的密码。根据 TeleSign 的数据，71%的账户使用与其他网站相同的密码。攻击者盗取一次数据就能获得大量被破坏的凭证，并在其他站点上测试所有的用户名-密码组合，使用相同的密码盗取帐户。这种类型的攻击称为凭证填充攻击。

MFA 是防止账户被盗取最好的方法之一，无论凭证填充攻击或其他攻击。攻击者如果想要破坏受 MFA 保护的帐户，那他们不仅需要盗取凭证，还需要验证额外附加的因素。 MFA 极大地增加了攻击者入侵帐户所需的时间和精力，这样他们就很难进行大规模的攻击活动。

当然了，实现MFA的方法多种多样，安全效果自然也大相径庭。我们不妨分析一下常见MFA方法，看看哪种验证因子更为有效。

四、5种MFA多因素验证方法

1. 一次性短信验证码（OTP）

用短信作为第二个身份验证因子很是常见。用短信向用户手机发送随机的四到六位数字，理论上只有持有正确手机的人才能通过验证，对吧？

很不幸，答案是否定的，已有多种方法被证明可以黑掉OTP。

比如说，2018年6月中旬，黑客就是通过短信拦截而黑掉了新闻娱乐网站Reddit。虽然黑客并未获得太多个人信息(Reddit的事件响应工作很棒)，还是暴露出了短信身份验证码并不像人们通常以为的那么安全。利用蜂窝网络漏洞就能拦截短信。受害者手机上安装的恶意软件也能重定向短信到攻击者的手机。对手机运营商的社会工程攻击可以使攻击者复制出与受害者手机号相关联的新SIM卡，接收到受害者的OTP短信。

实际上，美国标准与技术研究所(NIST)在2016年就不赞成使用短信身份验证了，认为该方法不再是安全的身份验证方法。但不幸的是，很多公司企业还在继续依赖短信OTP，给用户一种虚假的安全感。

2. 硬件令牌

作为现役MFA方法中的老大哥，硬件身份验证令牌常以带OTP显示屏的密钥卡的形式存在，硬件本身保护着其内部唯一密钥。但硬件密钥卡的缺陷也很明显。首先，用户不得不随身携带这个额外的设备；其次，贵，且需要物流递送；最后，必须不时更换。某些硬件令牌需要USB连接，在需要从手机或平板进行验证的时候就很棘手了。

3. 手机令牌

手机令牌很大程度上与硬件令牌类似，但是通过手机应用实现的。手机令牌最大的优势在于用户只需要带个智能手机就行了，而智能手机现在基本属于必备品，很多人忘带钥匙都不会忘带手机。真正的问题是要审查令牌进入手机的方式，也就是“激活过程”。以二维码提供进入凭证可不是个好主意，任何能复制你二维码的人都能掌握你令牌的副本。

4. 基于推送的身份验证令牌

一种脱胎于常见手机令牌和短信验证码的验证令牌，运用安全推送技术进行身份验证，因易用性提升而受到用户欢迎。与短信不同，推送消息不含OTP，而是包含只能被用户手机上特定App打开的加密信息。因此，用户拥有上下文相关信息可供判断登录尝试是否真实，然后快速同意或拒绝验证。如果同意，用户手机上的令牌应生成一个OTP，连同该同意授权一起发回以供验证使用。但由于不是所有MFA解决方案都这么做，也就增加了推送同意消息被摹写和伪造的风险。

5. 基于身份证的特殊令牌

这是一种最超前的方式，也是迄今为止最安全的方式了，安全程度比硬件令牌还要高，如果硬件令牌方案可以评价为四星的话，那身份证方案可以算是五星了。最大的优势就是是用身份证和账号相互绑定，在登录账号的时候需要同时验证用户身边是否持有匹配的身份证，当然是最安全的方式了。然而由于不是每个人都随时携带身份证，所以该方案还需要再扩展出更“亲民”的方式才能真正商用。

如上所述，MFA 验证方法多种多样，但并不是每一种都能给企业带来同等的安全，而最安全的方案往往要么成本太高、要么对用户的要求太高。因此，推出MFA解决方案时要综合考虑安全程度和操作可行性。所谓鞋合不合适只有脚知道。但是有一点是确定的，那就是必须采用至少一种 MFA方式，否则就是将企业安全曝光在火山口，那是万万不可取的！

五、实施MFA会带来怎样的改变

再回头看我们开头的两个例子，如果实施了 MFA，还会那么轻易得发生么？

案例一：王校长

小A想要换绑王校长的手机号，输入王校长手机号的时候，点击【遇到问题】选择【手机不能接收验证码】，此时，系统不再是轻松校验王校长的生日，而是会去校验一个只有王校长才拥有的东西。例如身份证、面容、指纹等生理特征。小A不可能同时拥有只有王校长才有的信息了吧。

案例二：编程高手小蔡

即使小蔡记忆力好，能够记住密码，登录上了系统，此时系统检测到此时登录的环境变了，常用设备变了，IP也变了，不妙，需要再次校验下其他信息。抽取了面容作为二次验证。这时候小蔡无法再伪造面容了，也无法登录了。就没有后来的62万条数据被盗。

这时候，MFA后台会产生一条审计，显示：

时间：2021-12-27 10:03:09

IP：http://…

状态：登录失败

原因：校验面部无法通过

备注：销售员小王账号可能有泄露风险，请及时修改密码。

当然你会问我是不是每次都这样复杂，那企业成本会变得更加高。当然不是，这就是MFA的魅力所在。现在的「自适应MFA」相较于传统MFA，能够根据当前安全状况，选择应用不同的 MFA 方式，在保障安全的同时也兼顾用户体验，「自适应」多因素认证提供了更加灵活和智能的验证策略。

据统计：每秒多达 579 次口令攻击–相当于每年 180 亿次。

MFA多因素验证，可以为企业搭起一道很高的防护墙，充分拦截掉各种有意的和无意的攻击。从此，绝大部分企业就能踏实睡个好觉了！

我想问，你们所在的企业已经用上MFA多因素认证了吗？评论区讨论讨论。

参考资料：

• https://mp.weixin.qq.com/s/z-SZDPVUCTSWUWTpRJNoQw
• https://baike.baidu.com/item/%E5%A4%9A%E5%9B%A0%E7%B4%A0%E9%AA%8C%E8%AF%81/22657576?fr=aladdin

本文由 @王小妞P7P7 原创发布于人人都是产品经理。未经许可，禁止转载

题图来自Unsplash，基于CC0协议