使用MFA加強身份認證

僅僅依靠單一的身份認證因素，即使不是以密碼為主的，對於高風險的關鍵計算環境也是不夠的。多因素身份認證(MFA)是加強認證的必要條件，MFA在防止成功入侵方面非常有效，現在已成為一項要求。

例如，所有保險公司都聲明，”沒有MFA，就沒有保險”。關於加強美國網路安全的總統行政命令第14028號也要求所有組織和機構儘可能部署MFA。

然而，重要的是要了解並非所有MFA方法都同樣安全。有些方法，如SMS OTP身份認證，會受到中間人甚至是網路釣魚的攻擊。隨著犯罪份子對付我們的存取控制措施而不斷創新，美國政府和ENISA正在推動採用防網路釣魚的MFA。

***FIDO2同時提供無密碼登入和MFA***

客戶端到身份驗證協議(CTAP)和W3C Web身份驗證規範(WebAuthn API)構成了稱為FIDO2的開放身份驗證標準，該標準由FIDO聯盟維護。瀏覽器或操作系統可以使用應用層協議CTAP與外部身份驗證器（例如FIDO2設備）進行通訊。

公鑰加密技術是FIDO2的基礎，它提供強大的單因素（無密碼）和強大的多因素身份認證解決方案。這些功能使FIDO2兼容的設備能夠將薄弱的靜態密碼憑證完全換成可靠的硬體支援的公鑰/私鑰憑證。這些憑證不容易受到網路釣魚和MiTM攻擊、伺服器入侵或重複使用、重播或服務之間共享的影響。

參考來源 : https://cpl.thalesgroup.com/blog/access-management/5-reasons-to-choose-fido2-as-your-enterprise-security-solution

正新電腦 http://www.pronew.com.tw/ 04-24738309