多因素身份验证是一种IT安全技术方法，它的出现要早于Web本身，这种技术方法要求人们提供多种形式的身份识别或信息来确认其身份的合法性，以进行在线交易或者获取对企业应用的访问权限。使用多因素身份验证的目的是提高攻击难度，让攻击者不能轻易利用登录过程来自由访问个人或企业网络以及感染电脑来窃取机密信息，或者其他更糟糕的情况。

简单地说，多因素身份验证利用只有每个用户自己拥有的东西（指纹、声纹、密钥卡、安全代码或者智能手机上的软件），并结合另一种因素，即用户知道的东西（例如往常的用户名/密码登录对话框）来证明他或她的合法身份。

多因素身份验证曾被称为双因素身份验证，但现在有很多不同的因素可以用于提供额外的安全性，前者已经超越后者成为首选术语。很多IT人员可能还记得生物识别手扫描仪，该设备用于保护很多数据中心的入口点，也是他们接触的第一个这种类型的设备。

MFA令牌：从密钥卡到智能手机

在十多年前多因素身份验证的早期阶段，针对移动员工的一次性密码生成器开始流行，它是采用密钥卡的形式，其中有一个小的液晶显示屏和按钮。当用户按下该按钮时，密钥卡上的屏幕会显示30秒的序列号。然后用户必须在这段时间内准确输入这个序列号到他们试图访问的应用或资源。这些密钥卡生成的序列号会由企业网络中的服务器进行检查以确保它们相匹配。该服务器运行身份管理程序、设置各种安全政策以及连接令牌到用户目录存储（例如Active Directory或RADIUS）。

如果输入的数字序列相匹配，用户则被允许访问。如果不匹配，他或她必须通过再次按下密钥卡的按钮来生成一个全新的密码。虽然这些令牌在早期是很好的多因素解决方案，并且，某些地区仍然在使用这种做法，但现在密钥卡被认为是有些过时的技术。它们也不是完美的：举个例子，今年早些时候，高级网络钓鱼攻击Emmental（在Swiss cheese之后）结合了流氓证书与对双因素身份验证登录的中间人攻击。

另外，追踪令牌（例如密钥卡）也是很麻烦的事情，并且，用户在需要登录到某处时可能所需令牌没在手边。此外，当用户离开公司或者密钥卡丢失时，还需要停用来终止访问。

这些问题的答案？智能手机

很多智能手机应用可以像密钥卡一样生成一次性密码，并可以帮助缓解上述问题。而且，随着苹果和谷歌添加指纹传感器到其手机，第二个因素可以超越简单的一次性数字密码来从智能手机的内置扫描仪识别用户指纹的数字拷贝。

智能手机和其他移动设备提供的其他类型的第二因素包括SMS文本、电子邮件和摄像头来扫描QR代码，当用户试图登录到应用或资源或进行交易时QR代码会显示在网页上。

MFA吸引力日益增加

由于密码已经变得不安全，多因素工具的应用范围有所扩大，从原来的核心IT人员扩展到很多大型企业的每个员工，特别是涉及个人信息时。它们也超越了最初的身份管理工具，目前在单点登录产品也很常见。

除此之外，随着软件即服务网络服务的发展以及重复使用密码次数的增加，多因素方法已经变得越来越重要，并越来越吸引着中小企业。同时，Facebook、LinkedIn、Twitter、Gmail、苹果和很多其他供应商已经采用这些工具来保护自己的登录信息。

如果企业还没有使用和支持多因素工具，他们会发现他们需要一些努力来配置和部署这些工具。这些工具有很多移动部件，企业将需要其IT部门的各个领域的专家来协调和配置基础设施，让受保护登录正常工作。

虽然现在新的多因素身份验证工具比较容易管理，但它们仍然涉及一些整合工作。为此，其中有些工具包括各种软件代理，可以保护VPN、SharePoint服务器、Outlook Web Access和数据库服务器等。

最后，一个相对较新的发展是将传统基于硬件的内部多因素服务器转移到云计算。大多数多因素解决方案供应商同时提供这两种选项，并且，他们越来越多地看到客户选择异地部署，主要是因为云计算在支持和管理方面提供的灵活性。

MFA的成本

部署多因素身份验证解决方案的典型成本是每个月每令牌几美元。然而，对于有很多用户或令牌或两者皆有的企业而言，这可能意味着每年几万美元的成本。

让问题更复杂的是，每个供应商采用不同的方法来计算底线价格：批量折扣、多年价格间断和24x7的支持费用。有些按每个令牌来计费（软或硬令牌有不同的费率），而有些则是按每个用户或每台服务器收费。有些供应商还添加了附加组件或整合层的价格。

当然，多因素身份验证工具值得冒这个险，特别是随着密码漏洞利用的数量不断增加并抢占头条新闻。企业需要更好的方法来保护用户登录信息，不能只是使用简单的用户名/密码组合。

目前我们看到多因素身份验证技术正被用于越来越多的领域，看看各种消费级SaaS和社交媒体服务的部署数量就知道。强大的多因素身份验证产品和用户对加强身份验证重要性的认识意味着，现在是企业考虑双因素身份验证的最佳时期。