什么是MFA令牌?其工作原理是什么?

每年,攻击者的登录技巧都在不断升级,能够更隐蔽地绕过本应阻止他们的防护环境。无论是窃取密码、重放令牌、劫持会话,还是OAuth授权诈骗,他们的攻击手段持续迭代,足以突破曾经被认为安全的身份验证方式。

这正是MFA令牌发挥作用的地方。MFA令牌能提供单纯密码无法实现的功能:真实的持有证明。然而,并非所有令牌的工作原理都相同,也并非每一种配置都能抵御现代攻击。

MFA令牌的实际工作原理

MFA令牌是第二种身份校验手段。密码验证你“所知”的信息,而令牌验证你“所持”的物品。

有时,这种令牌是一个可插入的小型密钥;有时,它是手机上生成六位验证码的应用程序。两种方式功能相同,只是实现形式不同。

以下是简单的流程拆解:

  1. 服务器与用户共享一个密钥(敏感凭证),该密钥安全存储在设备或令牌中。
  2. 令牌生成一个短期有效的验证码——通常有效期为30秒或60秒。
  3. 用户在系统提示时输入该验证码。
  4. 服务器将用户输入的验证码与自身计算得出的结果进行比对。
  5. 若两者匹配,登录流程继续。

即使黑客窃取了密码,也无法继续登录,因为他们没有生成登录授权验证码所需的令牌。现代MFA解决方案已将这种令牌流程直接整合到登录过程中,无论你使用的是生物识别、密码密钥还是传统的基于时间的一次性密码(TOTP)。

标题

软令牌 vs 硬令牌

软令牌

软令牌应用程序依赖存储在用户设备中的共享密钥工作,会生成每30秒或60秒刷新一次的短期有效验证码。用户输入验证码后,服务器进行验证,验证通过即可完成登录。

这种方式操作简单,但安全增益显著。即使密码泄露,攻击者没有令牌也无法推进攻击。而且由于无需通过短信传输信息,SIM卡劫持或一次性密码(OTP)拦截的风险大幅降低。

软令牌示例:Google Authenticator(谷歌验证器)、ADSelfService Plus移动应用、Microsoft Authenticator(微软验证器)。

软令牌适用于远程员工、普通员工群体以及采用自带设备(BYOD)政策的企业。

硬令牌

某些环境需要更强有力的用户身份担保,这正是硬件令牌的优势所在。它们具备抗钓鱼能力,可完全离线工作,且作为独立物品由用户随身携带。

硬令牌示例:YubiKey(硬件安全密钥)、OTP密钥卡、智能卡。

硬令牌适用于生产车间、医院、关键岗位、高安全级别环境,或任何禁止使用手机的场所。

大多数组织依赖支持硬令牌和软令牌两种方式的企业身份验证工具,并根据岗位的风险等级灵活选用。这种方式可很好地覆盖一线员工、高管、承包商、远程用户等各类人群。

MFA令牌 vs OAuth令牌

MFA令牌是身份验证因素,包括基于时间的一次性密码(TOTP)、硬件密钥、推送审批和软令牌应用程序等,用于在登录过程中验证用户身份。

OAuth令牌是授权令牌,包括访问令牌、刷新令牌和身份令牌等,在身份验证通过后颁发,用于确定用户可访问的资源范围。

人们之所以容易混淆这两种令牌,是因为现代身份系统将这两个流程串联在一起。当MFA确认用户身份合法后,系统会颁发OAuth令牌,用于会话访问应用程序和API。

令牌窃取:威胁背后的深层威胁

攻击者不仅窃取密码,还会窃取令牌和会话。推送疲劳攻击、OAuth令牌滥用、Cookie窃取和重放攻击等,都能绕过传统的MFA配置。

这也是ADSelfService Plus等现代系统转向抗钓鱼、无密码MFA的原因。

构建合理的MFA令牌策略

如今已不存在单一的“最佳”MFA方式。不同的用户、设备和风险等级需要不同的解决方案。最安全的配置是融合多种令牌类型,在保障身份验证安全的同时,不影响用户的登录效率。

现代MFA令牌策略通常包括以下内容:

  • 用于无密码登录的密码密钥(Passkeys)
    彻底消除了最薄弱的环节——密码。无需担心密码被窃取、重复使用或钓鱼攻击,只需依靠安全的设备绑定身份验证即可完成登录。
  • 作为日常备份的基于时间的一次性密码(TOTP)
    验证器应用程序生成的基于时间的验证码即使在离线状态下也能使用,可可靠覆盖大多数员工的使用场景。
  • 用于高可信度岗位的硬件令牌
    安全密钥和OTP设备增加了物理防护层,几乎无法被篡改。非常适合管理员、高管以及受监管环境中的岗位使用。
  • 仅作为应急选项的短信或语音验证
    这类方式并非最安全,但能帮助没有智能手机的用户,或在其他所有验证方式失效时为用户提供登录途径。
  • 适应实际风险的自适应MFA
    现代MFA需要具备自适应能力。如果用户从可信设备、已知网络登录,系统会提供流畅的登录体验;如果系统检测到新设备、高风险位置、不可能的异地登录(短时间内跨远距离登录)或多次登录失败等异常情况,会自动强制启用更严格的验证因素。这一机制填补了静态MFA与实际威胁行为之间的差距。
  • 用于敏感账户的抗钓鱼MFA
    密码密钥、FIDO2密钥和基于WebAuthn的验证方式,可有效抵御重放攻击、MFA轰炸(频繁发送验证推送)和虚假登录页面攻击。所有特权账户或高影响岗位都应默认使用这类验证方式。
  • 持续审计与风险评分
    强大的MFA不仅在于强制启用验证因素,还在于持续监控登录模式、标记异常设备、检测令牌滥用和权限蔓延等风险点。

ADSelfService Plus如何强化你的MFA令牌策略

ADSelfService Plus不仅提供多样化的验证器选项,还围绕这些选项构建了完整的身份防护层——通过自适应MFA应对风险,适配不同团队的工作模式,确保访问权限实时更新。

无密码身份验证是这一策略的核心。用户无需密码,只需通过生物识别、FIDO2密码密钥、推送审批或TOTP即可登录,这意味着攻击者无法再依靠窃取或重复使用的凭证实施攻击。

基于条件的MFA增添了另一层智能防护。系统会根据多种访问条件对每次登录进行检查。若发现异常情况,会自动提升身份验证级别;若一切正常,用户可无缝完成登录,无需额外操作。

FIDO2密码密钥、微软验证器和硬件密钥等抗钓鱼验证因素,能保护高风险岗位免受令牌重放、虚假登录页面和中间人攻击的威胁。这些验证器还支持离线工作,对于一线团队、远程站点以及网络连接不稳定的用户而言至关重要。

针对日常使用场景,ADSelfService Plus通过软令牌提供灵活的验证方式。用户可通过ADSelfService Plus移动应用或第三方验证器生成TOTP,无论在线还是离线状态都能可靠使用,为用户提供简单、可预期的身份验证体验。

ADSelfService Plus的可视化功能,MFA报表会详细展示哪些用户注册了哪些验证器、登录失败发生在哪些场景、哪些账户出现异常模式。这种清晰的可视化能力让管理员能在薄弱环节演变为安全事件之前及时发现并处理。

标题

完善的MFA令牌策略通过密码密钥、TOTP、硬令牌和基于风险的检查,为用户身份提供可靠证明。当这些防护层协同工作,并能在发现异常时自适应调整,就能构建一个既能隐蔽拦截身份伪造攻击,又能保障合法用户流畅登录的系统。即使密码泄露或会话被劫持,强大的MFA令牌也能确保访问权限始终掌握在合法用户手中。

借助ADSelfService Plus,构建更强大、以令牌为核心的MFA策略吧。

常见问题(FAQs)

  1. 什么是ADSelfService Plus? 

    ADSelfService Plus(ADSSP)是 ManageEngine 的自助服务密码管理与单点登录(SSO)解决方案,支持用户自助重置密码、解锁账户、更新个人信息,并集成多因素认证(MFA)与目录同步,减轻 IT 运维负担。

  2. 如何实现密码自助重置?

    用户可通过登录页 / 登录代理,选择邮箱验证、短信验证码、安全问题或 TOTP 令牌完成身份核验,按提示重置符合策略的密码,全程无需 IT 介入。

  3. 支持哪些身份验证方式?

    内置 MFA 包括短信 / 邮件、Google Authenticator、YubiKey、生物识别(Windows Hello)、安全问题及 Radius 集成,可按组织风险策略组合启用。