什么是多重身份验证（MFA）？

仅凭密码已不足以确保安全。

随着网络攻击变得越来越复杂，保护你的帐户和数据需要多重防线。多重身份验证（MFA）为保持身份安全增加了一层额外的保护，可阻止攻击者，降低风险，帮助企业在威胁不断演变的世界中保持韧性。

关键要点

MFA 结合知识、设备和生物识别等因素,在密码之外增加多重安全保障。
它可防范常见攻击，如网络钓鱼、凭据填充和暴力破解。
MFA 具有灵活性和自适应性，可根据风险、角色或位置调整提示。
Microsoft 提供简单工具，如 Microsoft Authenticator（它是 Entra ID MFA 的一部分），让 MFA 更易采用。

定义多重身份验证

多因素身份验证（MFA）是一种安全流程，要求使用多种验证方式来确认你的身份。MFA 不仅依赖密码，还结合了多种因素来增加额外的保护。

MFA 可以使用三种不同类型的身份验证：

你知道的：密码、通行密钥、PIN 或安全问题。
你拥有的：移动设备、智能卡或硬件令牌。
你本身的特征：生物识别，如指纹、面部扫描或语音识别。

双因素身份验证（2FA）是 MFA 的一个子集，而 MFA 不仅限于两步。组织可以要求使用三种或更多因素进行验证以获得更强的保护。

安全性 101

什么是 MFA？

了解多重身份验证如何增强安全性并阻止常见的身份攻击。

观看视频

为什么 MFA 很重要？

如今，密码保护已不足以保障你的数据安全。网络犯罪分子不断寻找窃取密码的方法，基于身份的攻击日益增多。MFA 可以显著降低未经授权访问的风险，即使密码泄漏。

使用 MFA，你可以防范：

网络钓鱼攻击：诱使用户泄露密码。
凭证填充：攻击者使用从其他泄露事件中窃取的密码。
暴力破解攻击：反复尝试以猜测登录安全信息。

MFA 在零信任安全模型中也发挥着关键作用，帮助组织满足在强数据保护和标识和访问管理（IAM）至关重要的行业中的监管合规性要求。

MFA 的工作原理是什么？

登录时，MFA 会提示你使用除密码之外的方式验证身份。以下是典型登录流程的示例：

输入用户名和密码。
提供第二个因素，例如批准推送通知、输入一次性密码或使用生物识别扫描。

常见的验证方法包括：

生成或批准代码的 Authenticator 应用。
短信或语音通话一次性密码。
生物识别选项，如指纹或面部识别。
硬件令牌或智能卡。

自适应身份验证增加了另一层智能。它可以评估风险因素（如你的位置、设备或登录行为），并决定何时需要额外验证。使用通行密钥的无密码身份验证也越来越受欢迎。通行密钥是 FIDO 凭证，可被浏览器发现或存储在本地应用程序或安全密钥中，用于无密码身份验证。通行密钥用加密密钥对替代密码，通过抗网络钓鱼实现安全登录，提供更好的用户体验。

通过 Microsoft，你可以通过 Microsoft Authenticator 启用无密码、抗网络钓鱼的 MFA，然后无缝集成 Microsoft Entra ID，保护组织内的用户和数据。

设置 MFA 需要什么？

使用 MFA 需要一个主凭据，如用户名和密码，再加上至少一个额外因素。设置 MFA 通常包括：

用户注册：注册设备、生物识别或身份验证器应用。
设备注册：配对受信设备以进行验证。
策略执行：根据角色、风险或位置自定义 MFA 规则。

这种灵活性让企业在不增加用户登录难度的情况下加强安全。

MFA 与 2FA：有什么区别？

双因素身份验证（2FA）是多重身份验证的一种，但仅限于两步验证。而 MFA 可以要求两种或更多因素，提供更大的灵活性和保护。

例如：

2FA 可能需要密码+短信验证码。
MFA 可能要求密码+手机通知+指纹。

虽然许多消费者应用依赖 2FA，但组织通常需要更广泛的 MFA 配置来应对更高风险和合规要求。你组合的因素越多，攻击者越难突破。

MFA 的真实示例

日常生活中的多重身份验证

想象日常的一天：一大早，你只需轻触手机即可批准登录 Microsoft 365 查看邮件。稍后，在加入安全的公司网络前，你插入智能卡并扫描指纹。午餐时，你通过银行应用转账。这次用 PIN 和手机摄像头确认身份。

这些时刻都依赖多重身份验证的支持。MFA 会根据情境调整，无论你是在工作、远程连接还是管理个人财务，都能提供有效保护。

MFA 最佳做法

让 MFA 为你服务

在所有重要场合启用多重身份验证

从最关键的帐户开始——邮件、财务系统和业务应用。这些是攻击者的主要目标，添加 MFA 可大幅降低被攻破的风险。

选择比短信更强的验证方法

虽然短信验证码比没有 MFA 好，但它们可能被拦截。Authenticator 应用、推送通知和生物识别技术提供更强大、更可靠的保护。

规划恢复和备份方案

设备会丢失，手机会更换。设置备用因素，例如备用设备或恢复代码，有助于确保用户在出现问题时不会被锁定。

让 MFA 尽可能易用

流程越顺畅，用户越可能坚持使用。简化的选项，如推送批准或生物识别，可以减少挫败感并提升采用率。

通过培训和政策提供支持

单靠技术是不够的。让用户了解多重身份验证（MFA）的重要性，并在整个组织内执行一致的策略，这样有助于共担安全责任。

Microsoft 安全的 MFA 解决方案

使用 Microsoft 简化 MFA

Microsoft 让强化安全变得简单，且不增加阻力。

大规模强化保护：使用企业级身份安全解决方案 Microsoft Entra ID 保护组织内的用户和数据。
快速无缝登录：通过简单、移动友好的选项（如 Microsoft Authenticator）在几秒内批准访问。
智能自适应安全：仅在检测到风险时提示，减少对受信任登录的干扰。

使用 Microsoft，你将获得既强大又易用的多重身份验证，专为你的工作方式设计。

资源

有关多重身份验证的详细信息

产品

Microsoft Entra ID MFA

企业级 MFA，随业务扩展，灵活保护应用、用户和设备。

详细了解

解决方案

身份和网络访问

了解 Microsoft 如何通过内置的多重身份验证和自适应身份解决方案保护应用和数据访问。

探索解决方案

文档

MFA 的工作原理

深入了解 Microsoft Entra 的设置、身份验证方法和最佳实践相关的技术指导。

阅读指南

多重身份验证（MFA）是一种安全流程，要求使用多种验证方式来确认你的身份。

MFA 不仅依赖密码，还结合了你知道的（密码或 PIN）、你拥有的（手机或令牌）和你本身的特征（指纹或面部扫描）等因素，增加额外保护。
密码经常被盗或被猜出，这使它们成为攻击者的常见目标。MFA 可增加第二层（或第三层）安全保障，即使密码被知晓，也让未授权用户更难访问账户。这降低了网络钓鱼、凭证填充和暴力破解攻击的风险，同时帮助组织满足合规要求并提高整体网络安全。
使用 MFA 需要一个主要登录凭据（如用户名和密码）加上至少一个额外因素。它可以是注册了 Authenticator 应用的移动设备、生物识别标识（如指纹）或硬件令牌。

组织还可以设置策略，定义何时以及如何要求使用 MFA，通常基于用户角色、设备或风险级别。
双因素身份验证（2FA）是多重身份验证（MFA）的一种，使用恰好两个步骤，例如密码加短信验证码。 MFA 更进一步，要求两个或更多因素，可能包括生物识别或额外设备。

所有 2FA 都是 MFA，但 MFA 不仅限于两个步骤。MFA 为敏感帐户和系统提供更灵活、更强的保护。
MFA 的常见示例是登录 Microsoft 365：输入密码后，在手机上的 Microsoft Authenticator 应用中轻触批准登录。

其他示例包括使用智能卡和指纹连接企业 VPN，或输入 PIN 后扫描面部访问银行应用。每种情况都使用多个因素来确认身份。