David Strom

分析人士预测，由于需要更安全的数字支付以及网络威胁、网络钓鱼攻击和大规模密码泄露的不断增长，多因素身份验证（MFA）市场将继续增长。市场研究机构Adroit Market Research预测，到2025年，整个MFA市场将达到200亿美元。有分析师预测，从现在到2024年，该市场的年平均收入将增长18%。这一增长将刺激MFA供应商增加新的认证因素，让他们的产品更易于与定制的企业和公有SaaS应用程序进行集成。这是一个好消息。

但是不好的消息更多。首先，由于Facebook等公司滥用私人数据，导致用户之间越来越缺乏信任。Facebook损害了用户对IT供应商的信任度，并导致用户对在线安全性和隐私保护提出了近乎于偏执的更高要求。人们可能会认为这将进一步刺激MFA被更广泛地采用，但是这种不信任也提高了使用更多可用MFA工具的门槛，结果是MFA仍远未普及。

其次，在大多数情况下，MFA对于一般公众来说仍然太难了。部分原因在于添加这些附加因素的过程中充满了糟糕的文档和复杂的工作流程，即使是最坚定的用户也容易感到沮丧。另一个原因可能是支持MFA（甚至手机短信）的应用程序仍然很少。

尽管如此，部署MFA的压力仍在不断增加。以下是推动这一增长的五大重要趋势。

1.智能手机身份验证应用程序的普及率将持續增长

三年前，最热门的新方法是通过软令牌将智能手机用作身份验证方法，该令牌可以是智能手机应用程序、短信或电话。智能手机应用程序将继续增长，主要是因为它们仍然是在跨基础设施中部署MFA最快捷、最安全的方法。

如今，用户可以在谷歌、Duo、OneSpan、HID Approve、微软、SafeNetMobilePass和Sophos那里找到这类应用程序，密码管理器和单点登录（SSO）厂商本身也提供这类应用程序。开源供应商Authy.com也提供了一个特别的应用程序。对于许多开发人员来说，这个应用程序已经成为了他们的首选，它提供了一个有着40多个步骤的操作指南，详细介绍了将身份验证工具添加到LinkedIn、Uber、Evernote和GitHub等SaaS应用程序中的步骤。

2016年，安全厂商发布了“智能”硬件令牌，这些令牌嵌入了加密密钥或加密引擎，而不仅仅是显示一系列不断变化的随机数，以供用户在身份验证对话框中键入。但是OneSpan和Trusona的这些MFA方法并没有如厂商原来想像的那样受到强烈关注。

近年来，推送身份验证的方法受到了广泛的欢迎，取代了智能令牌。用户不需键入硬/软令牌中显示的一次性代码，MFA通知会通过短信（或是通过智能手机MFA应用程序）发送，用户只需确认接收即可。这使得MFA变得非常便捷。这种方式也受到了众多身份验证厂商的欢迎，并获得了来自谷歌、雅虎和微软等厂商的大力支持。许多MFA厂商和SSO厂商还推出了附加的身份验证因素。安全管理人员在部署MFA的过程中应当同时考虑推送和智能手机应用程序这两种方式。

2.更好的身份验证集成

在MFA管道中加入更多硬件是第二个趋势，即越来越多的应用程序将安全性和身份验证方法直接集成到其代码中。这是OneSpan、Thales等厂商努力推动的结果。这些厂商使用非常复杂的API将MFA例程整合为应用程序本身的一部分，无论它们是基于SaaS的Web应用程序还是移动设备专用应用。

这也是SSO厂商努力的结果。后一种发展或许是企业最终用户采用MFA的最可能途径，因为IT部门可以随时向其整个用户群提供MFA支持，并保护整个企业所有应用程序的登录。

更好地与MFA集成的另一个原因是厂商Web门户自助服务的改进。用户在需要重设密码或报告手机遗失电话时，不再需要拨打IT支持热线。在过去的几年中，大多数SSO和身份管理厂商都在向Web门户添加功能方面取得了长足的进步。

3.生物识别技术继续发展

第三个趋势是使用内置指纹和面部读取器，目前大多数安卓和苹果手机都在用这两种方式以确保安全访问各种应用程序。Paypal在几年前就已经推出了使用指纹的应用程序，其他应用程序也在逐渐将指纹和面部识别作为另一个或唯一的验证因素，例如美国银行的移动应用程序。预计未来几年会出现更多的此类应用。一个明显的信号是Authy、Lastpass和Dropbox已支持用户通过苹果的Touch ID身份验证登录其iPhone应用程序。

另一个亮点是使用基于区块链的方法，该方法可分发生物识别数据，以提升安全性，减少可能导致数据泄露的漏洞。例如，Kiva正在使用区块链技术执行其生物识别协议，以验证位于塞拉利昂的银行客户。与此同时，许多政府土地登记部门也开始利用区块链来验证房地产交易。

如今，生物识别技术仍在不断地改进当中。其遇到的一个限制因素是苹果系统和安卓系统有着两个不同的API集合和代码流。虽然大多数现代手机中都在使用生物识别技术，但是台式机和笔记本电脑却是另一番情形，带有此类传感器的设备还远远没有普及。由于这些原因，在可以更轻松地进行集成之前，生物识别技术将在企业安全开发人员中占据一席之地。

4. FIDO支持越来越好

六年前，线上快速身份验证（FIDO）联盟似乎是身份验证领域的一个亮点。FIDO使得用户在连接各种资源时不再需要使用各种身份验证令牌。FIDO支持的应用程序已经问世很长时间了。虽然FIDO联盟仍在不遗余力地发展和增加成员，但是苹果公司目前还没有加入到这个联盟当中。

尽管由于蓝牙支持方面的缺陷导致谷歌Titan令牌不得不重新发行，但是目前Yubico和谷歌已经推出了支持FIDO的硬件令牌。许多MFA厂商已经在集成Nok Nok Labs的工具套件，以支持FIDO。对于企业IT经理来说，目前这可能是考虑加入FIDO，进一步探索其功能的最佳时机。

5.基于风险的认证

最后一个趋势是，厂商（尤其是提供完整身份管理套件的厂商）将采用逐步升级或基于风险的身份验证，以便在特定情况下使用第二个验证因素。这意味着用户必须通过更多的安全机制，才能有权进行敏感的账户操作，例如电汇与余额查询。推动这种发展的主要因素是网络钓鱼攻击的成功率在不断增加。但是，基于风险的身份验证还远远没有达到成熟的程度，尤其是在SSO厂商中。例如，RSA、Thales和OneSpan等MFA厂商现在才推出将身份验证、MFA工具集和基于风险的方法整合在一起的产品。从目前情况看，基于风险的方法需要付出巨大的代价才能正确实施。

本文作者David Strom在CSO Online、Network World、Computerworld网站和其他出版物上发表了许多以安全性、网络和通信为主题的文章。

原文网址

https：//www.csoonline.com/article/3079230/5-trends-shaking-up-multi-factor-authentication.html