MFA 作為身份認證強化關鍵的措施,
擁有適配現代系統的各個強化手段與應用,
在最基本的身份驗證系統中,只需要密碼即可。
而在 MFA 措施裡,
使用者至少需要兩個證據(稱為「身份驗證因素」)來證明自己身份。
意即:
:使用者知道的東西
:使用者擁有的東西
:使用者獨有的東西
現在 IT 世界有非常多提供 MFA 機制的措施,
包含像是一次性密碼 (OTP)、軟體式 OTP (MOTP),
硬體式的安全Token、Windows Hello、
Mac Touch ID 等等措施,都可以作為 MFA 措施的實施工具。
其中最為流行的即為 FIDO 2 機制。
FIDO2 是一組標準和技術,
為 Web 和應用程式用戶端(包括本機行動用戶端),
提供基於 PKI 的可互通的強身份驗證。
當 FIDO2 身份驗證用作首要認證因素時,可以取代使用者名稱和密碼身份驗證,
透過 FIDO2 在 Web 介面進行身份驗證以及整合單一登入機制。
初次使用 FIDO2 驗證機制,使用者必須針對該帳戶註冊身份驗證器,
透過從 FIDO2 伺服器取得證明來執行註冊 (WebAuthn API 機制)
透過 FIDO2 伺服器與當前 Web 瀏覽器的驗證過程,綁定 FIDO2 身份驗證器。
FIDO2 驗證是透過從FIDO2 伺服器取得斷言(Assertion),
並將其傳遞至瀏覽器的 WebAuthn API(使用客戶端 JavaScript)執行。
此時,瀏覽器將控制並使用身份驗證器管理身份驗證過程。
QR 碼登入是另一種常見的身份驗證機制,
它允許用戶透過使用預先註冊的身份驗證器掃描 QR 碼來對應用程式進行身份驗證。
比照 FIDO2 機制,QR 碼初次登入身份驗證時,
使用者必須事先針對其帳戶註冊身份驗證器應用程式。
在註冊過程中,會採用 OAuth 授權的機制流程,
允許身份驗證器應用程式以使用者身分進行身份驗證並代表使用者驗證 QR 碼登入交易,
同時身份驗證器應用程式會獲得一個短期的令牌,藉此賦予其執行系統存取的範圍。
多因素身份驗證(MFA)要求用戶除了用戶名之外,
提供兩個或多個身份憑證才能存取當前應用城市,
從而增加了另一層身份認證的保護,
無論是軟體、硬體、電子郵件、行動終端、生物識別,
都是為了兼顧身份安全保護的同時,也維持良好的生產力效益與使用體驗。