文章总结： 文档强调多因素身份验证虽是安全基石，但仍面临AI钓鱼及SIM卡交换等绕过风险。为应对人为因素这一薄弱环节，建议采用分层安全策略，将MFA与身份威胁检测相结合。通过持续监控用户行为识别异常，不仅能有效防御凭证窃取，还能提升合规性与风险应对能力，构建超越传统验证的全面身份安全体系。 综合评分： 86 文章分类： 解决方案,安全建设,安全运营,网络安全,数据安全

身份安全必须超越多因素身份验证

原创

何威风 何威风

河南等级保护测评

2026年1月23日 00:00 河南

通过将身份威胁检测与多因素身份验证 (MFA) 相结合，组织可以保护敏感数据、维持运营连续性并降低风险敞口。

多因素身份验证 (MFA) 已成为现代网络安全的基石。根据Okta发布的《2025 年安全登录趋势报告》，到2025年初，企业环境中约 70%的用户都在使用MFA。使用多种身份验证因素可以增加一层额外的防御，从而大大减少对敏感系统的未经授权访问。然而，这并非万无一失的解决方案。网络犯罪分子仍在不断攻击人为因素，通过人工智能驱动的网络钓鱼、身份冒用、SIM卡交换、社会工程和凭证窃取等手段绕过身份验证控制。

多因素身份验证 (MFA) 要求用户提供两种或两种以上类型的证据来证明其身份。这些因素分为三类：

您知道的信息（例如，密码、PIN 码）；

您拥有的物品（例如，安全令牌、智能手机应用程序、智能卡）；

以及自身的特征（例如，指纹或面部扫描等生物识别信息）。

微软和谷歌的研究均表明，多因素身份验证 (MFA) 在抵御自动化机器人攻击和批量网络钓鱼攻击方面非常有效。因此，它能显著提升安全性，是防止账户被盗用的最有效手段之一。例如，美国联邦调查局 (FBI) 强调MFA对安全至关重要，并强制所有执法机构在访问刑事司法信息 (CJI) 时使用MFA。与此同时，FBI 也警告公众注意各种威胁，包括犯罪分子利用社交工程、网络钓鱼、键盘记录、欺骗以及窃取“记住我”cookie 等手段绕过MFA ，从而未经授权访问账户和数据。

并非所有身份验证器都同样容易受到攻击

另一点需要注意的是，并非所有多因素身份验证 (MFA) 都一样。最近发生的多因素身份验证绕过攻击事件，以及像Scattered Spider这样的网络犯罪组织如何找到绕过方法，都印证了这一点。因此，美国联邦调查局 (FBI) 和美国国家标准与技术研究院 (NIST) 都建议各组织机构不要继续使用基于电子邮件的一次性密码 (OTP) 和短信验证码，因为它们极易受到电子邮件账户被盗用和 SIM 卡交换拦截等攻击。

反过来，越来越多的组织正在转向采用“防钓鱼”身份验证方式。根据《2025年安全登录趋势报告》，这种身份验证方式的使用率增长了63%，一年内从8.6%上升到14.0%。这些防钓鱼方法包括使用基于硬件的安全密钥（例如FIDO2、YubiKey、智能卡）、身份验证器应用程序（TOTP、Google Authenticator或Microsoft Authenticator）或公钥加密技术，例如FastPass或WebAuthn。

警惕人为因素

尽管采取了这些防范网络钓鱼的方法，但人为因素仍然是任何安全策略中最薄弱的环节之一。员工、承包商和合作伙伴可能会无意中泄露敏感信息或使用弱密码。即使是最先进的多因素身份验证 (MFA) 系统也无法阻止因用户不良习惯或凭证泄露而产生的风险。这一现实凸显了在 MFA 之外，采取强有力的安全措施的必要性。

利用身份威胁检测超越多因素身份验证

在此背景下，注重安全的组织已将目光转向新兴的身份威胁检测和风险缓解解决方案，这些方案能够持续监控用户在网络、应用程序和设备上的行为。它们可以识别异常情况，例如不寻常的登录地点、意外的设备变更或与用户正常活动不符的访问模式。通过实时标记这些可疑行为，组织可以在安全漏洞发生之前进行干预。例如，如果员工帐户同时从两个大洲登录，系统可以触发额外的验证或暂时中止访问权限，直到验证该活动为止。

分层安全策略至关重要。多因素身份验证 (MFA) 应继续作为基础控制措施，但必须辅以实时监控、基于风险的身份验证和自适应策略。身份威胁检测还能提供对潜在风险的宝贵洞察。安全团队可以深入了解异常活动趋势，并动态地执行策略。这种能力不仅降低了攻击成功的可能性，还有助于提高数据保护法规的合规性。随着时间的推移，这些系统可以学习正常的用户行为模式，从而提高威胁检测的准确性并减少误报。

风险极高。凭证泄露是当今安全事件的主要原因之一，网络犯罪分子的手段也日益高明。通过将身份威胁检测与多因素身份验证 (MFA) 相结合，企业可以保护敏感数据、维持业务连续性并降低风险敞口。同时，员工也被赋予了积极参与安全维护的权力，从而将人为因素从安全漏洞转化为一道防线。

结论

保障人为因素的安全已不再是可选项。采用全面身份安全策略的组织能够更好地抵御不断演变的威胁，保护其数字资产，并与客户和合作伙伴建立信任。身份威胁检测和风险缓解并非身份验证的附加功能，而是企业在网络安全策略上的必然演进。在当今世界，人为因素往往决定着安全工作的成败。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 何威风 何威风《身份安全必须超越多因素身份验证》