David Strom

分析人士預(yù)測，由于需要更安全的數(shù)字支付以及網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)釣魚攻擊和大規(guī)模密碼泄露的不斷增長，多因素身份驗(yàn)證（MFA）市場將繼續(xù)增長。市場研究機(jī)構(gòu)Adroit Market Research預(yù)測，到2025年，整個(gè)MFA市場將達(dá)到200億美元。有分析師預(yù)測，從現(xiàn)在到2024年，該市場的年平均收入將增長18%。這一增長將刺激MFA供應(yīng)商增加新的認(rèn)證因素，讓他們的產(chǎn)品更易于與定制的企業(yè)和公有SaaS應(yīng)用程序進(jìn)行集成。這是一個(gè)好消息。

但是不好的消息更多。首先，由于Facebook等公司濫用私人數(shù)據(jù)，導(dǎo)致用戶之間越來越缺乏信任。Facebook損害了用戶對IT供應(yīng)商的信任度，并導(dǎo)致用戶對在線安全性和隱私保護(hù)提出了近乎于偏執(zhí)的更高要求。人們可能會(huì)認(rèn)為這將進(jìn)一步刺激MFA被更廣泛地采用，但是這種不信任也提高了使用更多可用MFA工具的門檻，結(jié)果是MFA仍遠(yuǎn)未普及。

其次，在大多數(shù)情況下，MFA對于一般公眾來說仍然太難了。部分原因在于添加這些附加因素的過程中充滿了糟糕的文檔和復(fù)雜的工作流程，即使是最堅(jiān)定的用戶也容易感到沮喪。另一個(gè)原因可能是支持MFA（甚至手機(jī)短信）的應(yīng)用程序仍然很少。

盡管如此，部署MFA的壓力仍在不斷增加。以下是推動(dòng)這一增長的五大重要趨勢。

1.智能手機(jī)身份驗(yàn)證應(yīng)用程序的普及率將持續(xù)增長

三年前，最熱門的新方法是通過軟令牌將智能手機(jī)用作身份驗(yàn)證方法，該令牌可以是智能手機(jī)應(yīng)用程序、短信或電話。智能手機(jī)應(yīng)用程序?qū)⒗^續(xù)增長，主要是因?yàn)樗鼈內(nèi)匀皇窃诳缁A(chǔ)設(shè)施中部署MFA最快捷、最安全的方法。

如今，用戶可以在谷歌、Duo、OneSpan、HID Approve、微軟、SafeNetMobilePass和Sophos那里找到這類應(yīng)用程序，密碼管理器和單點(diǎn)登錄（SSO）廠商本身也提供這類應(yīng)用程序。開源供應(yīng)商Authy.com也提供了一個(gè)特別的應(yīng)用程序。對于許多開發(fā)人員來說，這個(gè)應(yīng)用程序已經(jīng)成為了他們的首選，它提供了一個(gè)有著40多個(gè)步驟的操作指南，詳細(xì)介紹了將身份驗(yàn)證工具添加到LinkedIn、Uber、Evernote和GitHub等SaaS應(yīng)用程序中的步驟。

2016年，安全廠商發(fā)布了“智能”硬件令牌，這些令牌嵌入了加密密鑰或加密引擎，而不僅僅是顯示一系列不斷變化的隨機(jī)數(shù)，以供用戶在身份驗(yàn)證對話框中鍵入。但是OneSpan和Trusona的這些MFA方法并沒有如廠商原來想像的那樣受到強(qiáng)烈關(guān)注。

近年來，推送身份驗(yàn)證的方法受到了廣泛的歡迎，取代了智能令牌。用戶不需鍵入硬/軟令牌中顯示的一次性代碼，MFA通知會(huì)通過短信（或是通過智能手機(jī)MFA應(yīng)用程序）發(fā)送，用戶只需確認(rèn)接收即可。這使得MFA變得非常便捷。這種方式也受到了眾多身份驗(yàn)證廠商的歡迎，并獲得了來自谷歌、雅虎和微軟等廠商的大力支持。許多MFA廠商和SSO廠商還推出了附加的身份驗(yàn)證因素。安全管理人員在部署MFA的過程中應(yīng)當(dāng)同時(shí)考慮推送和智能手機(jī)應(yīng)用程序這兩種方式。

2.更好的身份驗(yàn)證集成

在MFA管道中加入更多硬件是第二個(gè)趨勢，即越來越多的應(yīng)用程序?qū)踩院蜕矸蒡?yàn)證方法直接集成到其代碼中。這是OneSpan、Thales等廠商努力推動(dòng)的結(jié)果。這些廠商使用非常復(fù)雜的API將MFA例程整合為應(yīng)用程序本身的一部分，無論它們是基于SaaS的Web應(yīng)用程序還是移動(dòng)設(shè)備專用應(yīng)用。

這也是SSO廠商努力的結(jié)果。后一種發(fā)展或許是企業(yè)最終用戶采用MFA的最可能途徑，因?yàn)镮T部門可以隨時(shí)向其整個(gè)用戶群提供MFA支持，并保護(hù)整個(gè)企業(yè)所有應(yīng)用程序的登錄。

更好地與MFA集成的另一個(gè)原因是廠商Web門戶自助服務(wù)的改進(jìn)。用戶在需要重設(shè)密碼或報(bào)告手機(jī)遺失電話時(shí)，不再需要撥打IT支持熱線。在過去的幾年中，大多數(shù)SSO和身份管理廠商都在向Web門戶添加功能方面取得了長足的進(jìn)步。

3.生物識別技術(shù)繼續(xù)發(fā)展

第三個(gè)趨勢是使用內(nèi)置指紋和面部讀取器，目前大多數(shù)安卓和蘋果手機(jī)都在用這兩種方式以確保安全訪問各種應(yīng)用程序。Paypal在幾年前就已經(jīng)推出了使用指紋的應(yīng)用程序，其他應(yīng)用程序也在逐漸將指紋和面部識別作為另一個(gè)或唯一的驗(yàn)證因素，例如美國銀行的移動(dòng)應(yīng)用程序。預(yù)計(jì)未來幾年會(huì)出現(xiàn)更多的此類應(yīng)用。一個(gè)明顯的信號是Authy、Lastpass和Dropbox已支持用戶通過蘋果的Touch ID身份驗(yàn)證登錄其iPhone應(yīng)用程序。

另一個(gè)亮點(diǎn)是使用基于區(qū)塊鏈的方法，該方法可分發(fā)生物識別數(shù)據(jù)，以提升安全性，減少可能導(dǎo)致數(shù)據(jù)泄露的漏洞。例如，Kiva正在使用區(qū)塊鏈技術(shù)執(zhí)行其生物識別協(xié)議，以驗(yàn)證位于塞拉利昂的銀行客戶。與此同時(shí)，許多政府土地登記部門也開始利用區(qū)塊鏈來驗(yàn)證房地產(chǎn)交易。

如今，生物識別技術(shù)仍在不斷地改進(jìn)當(dāng)中。其遇到的一個(gè)限制因素是蘋果系統(tǒng)和安卓系統(tǒng)有著兩個(gè)不同的API集合和代碼流。雖然大多數(shù)現(xiàn)代手機(jī)中都在使用生物識別技術(shù)，但是臺式機(jī)和筆記本電腦卻是另一番情形，帶有此類傳感器的設(shè)備還遠(yuǎn)遠(yuǎn)沒有普及。由于這些原因，在可以更輕松地進(jìn)行集成之前，生物識別技術(shù)將在企業(yè)安全開發(fā)人員中占據(jù)一席之地。

4. FIDO支持越來越好

六年前，線上快速身份驗(yàn)證（FIDO）聯(lián)盟似乎是身份驗(yàn)證領(lǐng)域的一個(gè)亮點(diǎn)。FIDO使得用戶在連接各種資源時(shí)不再需要使用各種身份驗(yàn)證令牌。FIDO支持的應(yīng)用程序已經(jīng)問世很長時(shí)間了。雖然FIDO聯(lián)盟仍在不遺余力地發(fā)展和增加成員，但是蘋果公司目前還沒有加入到這個(gè)聯(lián)盟當(dāng)中。

盡管由于藍(lán)牙支持方面的缺陷導(dǎo)致谷歌Titan令牌不得不重新發(fā)行，但是目前Yubico和谷歌已經(jīng)推出了支持FIDO的硬件令牌。許多MFA廠商已經(jīng)在集成Nok Nok Labs的工具套件，以支持FIDO。對于企業(yè)IT經(jīng)理來說，目前這可能是考慮加入FIDO，進(jìn)一步探索其功能的最佳時(shí)機(jī)。

5.基于風(fēng)險(xiǎn)的認(rèn)證

最后一個(gè)趨勢是，廠商（尤其是提供完整身份管理套件的廠商）將采用逐步升級或基于風(fēng)險(xiǎn)的身份驗(yàn)證，以便在特定情況下使用第二個(gè)驗(yàn)證因素。這意味著用戶必須通過更多的安全機(jī)制，才能有權(quán)進(jìn)行敏感的賬戶操作，例如電匯與余額查詢。推動(dòng)這種發(fā)展的主要因素是網(wǎng)絡(luò)釣魚攻擊的成功率在不斷增加。但是，基于風(fēng)險(xiǎn)的身份驗(yàn)證還遠(yuǎn)遠(yuǎn)沒有達(dá)到成熟的程度，尤其是在SSO廠商中。例如，RSA、Thales和OneSpan等MFA廠商現(xiàn)在才推出將身份驗(yàn)證、MFA工具集和基于風(fēng)險(xiǎn)的方法整合在一起的產(chǎn)品。從目前情況看，基于風(fēng)險(xiǎn)的方法需要付出巨大的代價(jià)才能正確實(shí)施。

本文作者David Strom在CSO Online、Network World、Computerworld網(wǎng)站和其他出版物上發(fā)表了許多以安全性、網(wǎng)絡(luò)和通信為主題的文章。

原文網(wǎng)址

https：//www.csoonline.com/article/3079230/5-trends-shaking-up-multi-factor-authentication.html