总览

多因素身份验证（MFA）的目的是为尝试访问资源（例如物理位置，计算设备，网络或数据库）的个人的身份提供更高程度的保证。 MFA创建了一个多层机制，未经授权的用户将不得不破坏该机制才能获得访问权限。

本文档描述了与多因素身份验证相关的行业公认的原则和最佳实践。本文档中的指南适用于评估，实施或升级MFA解决方案的任何组织，以及MFA解决方案的提供商。

MFA和PCI DSS

PCI DSS要求必须按照要求8.3及其子要求中的规定实施MFA。

在标准的“指南”列中提供了有关这些要求的意图的指南，其中包括： “在授予访问权限之前，多因素身份验证要求个人至少提供两种单独的身份验证形式（如要求8.2中所述）。”本文档中的其他指南并未将PCI DSS要求扩展至超出本条款中所述的范围。标准。

尽管PCI DSS要求8.3当前不要求组织根据本指南文档中描述的所有原则来验证其MFA实施，但是这些原则可以纳入该标准的未来修订版中。因此，强烈鼓励组织评估所有新的和当前的MFA实施是否符合这些原则。

术语

除了《 PCI DSS术语表，缩写词和首字母缩写词》中定义的术语外，还引用了以下首字母缩写词：

认证因素

MFA的整个身份验证过程至少需要PCI DSS要求8.2中所述的三种身份验证方法中的两种：

1. 您知道的东西，例如密码或密码。此方法涉及验证用户提供的信息，例如密码/密码，PIN或对秘密问题（挑战响应）的回答。

2. 您拥有的东西，例如令牌设备或智能卡。这种方法涉及验证用户拥有的特定物品，例如物理或逻辑安全令牌，一次性密码（OTP）令牌，密钥卡，员工访问卡或电话的SIM卡。对于移动身份验证，智能手机通常会结合设备上的OTP应用或加密材料（即证书或密钥）来提供占有因子。

3. 您的身份，例如生物特征识别。该方法涉及验证个人固有的特征，例如通过视网膜扫描，虹膜扫描，指纹扫描，手指静脉扫描，面部识别，语音识别，手形甚至耳垂的几何图形。

身份验证过程中可能还包括其他类型的信息，例如地理位置和时间。但是，必须始终使用上面确定的三个因素中的至少两个。例如，地理位置和时间数据可用于根据个人的工作时间表来限制对实体网络的远程访问。尽管使用这些附加条件可能会进一步减少帐户劫持或恶意活动的风险，但是远程访问方法仍必须至少通过以下两个因素进行身份验证：您知道的（Something you know）、你拥有的（Something you have）、你是谁（Something you are）。

身份验证机制的独立性

用于MFA的身份验证机制应彼此独立，以使对一个因素的访问不会授予对任何其他因素的访问，并且对任何一个因素的妥协都不会影响任何其他因素的完整性或机密性。例如，如果将同一组凭据（例如，用户名/密码）用作身份验证因素，并且还用于访问发送了辅助因素（例如，一次性密码）的电子邮件帐户，则这些因素不是独立的同样，存储在笔记本电脑（您拥有的东西）上的软件证书受用于登录笔记本电脑（您知道的东西）的同一组凭据保护，可能不会提供独立性。

嵌入到设备中的身份验证凭证的问题是潜在的因素之间的独立性丧失，即，设备的物理拥有权可以授予对秘密（您知道的东西）以及令牌（您拥有的东西）（例如设备）的访问本身，或在设备上存储或生成的证书或软件令牌。因此，身份验证因素的独立性通常是通过物理隔离因素来实现的；但是，高度健壮和隔离的执行环境（例如可信执行环境[TEE]，安全元素[SE]和可信平台模块[TPM]）也可以满足独立性要求。

带外验证

带外（OOB）是指身份验证过程，其中身份验证方法通过不同的网络或通道进行传输。

在通过单个设备/通道传达身份验证因素的地方（例如，通过也接收，存储或生成软件令牌的设备输入凭据），已经控制了该设备的恶意用户可以捕获这两个身份验证因素。

传统上，将一次性密码（OTP）传输到智能手机被认为是一种有效的带外方法。但是，如果随后使用同一部手机（例如，通过Web浏览器）提交OTP，则OTP作为次要因素的有效性将无效。

认证机制的带外传送是一种附加控制，可以增强多因素认证的保证水平。代替使用带外通信的功能，身份验证过程应建立控制措施，以确保尝试使用身份验证的个人实际上是拥有身份验证因素的合法用户。

加密令牌

密码令牌可以嵌入到设备中或存储在单独的可移动媒体中。以下指南基于NIST SP800-164和NIST SP800-157，并考虑了移动计算设备经常使用的一些常见外形尺寸。

可移动（非嵌入式）硬件加密令牌

在此类设备中，私钥位于物理上与移动计算设备分离的硬件安全模块（或物理安全令牌）中。对移动计算设备或存储在令牌上的密码的访问均不授予对另一设备的访问，因此保持了验证因素的独立性。

下文所述的每种形状因素均支持安全元素（SE），这是一种在移动设备中提供安全性和机密性的防篡改密码组件。

• 带有加密模块的SD卡–一种非易失性存储卡格式，用于便携式设备（例如手机和平板电脑）。

• 带密码模块的可移动UICC –通用集成电路卡（UICC）配置基于GlobalPlatform卡规范v2.2.1 [GP-SPEC]，并提供存储和处理以及输入/输出功能。

• 具有加密模块的USB令牌–通用串行总线（USB）令牌是一种插入各种IT计算平台（包括移动设备和个人计算机）上的USB端口的设备。 USB令牌通常包括板载存储，并且还可以包括加密处理能力，例如，用于验证用户身份的加密机制。包含集成安全元件（集成电路卡或ICC）的USB令牌实现适用于身份验证过程。

嵌入式密码令牌

认证证书及其相关联的私钥可以在嵌入在移动设备内的加密模块中使用。这些模块可以采用作为移动设备组件的硬件安全模块（HSM）的形式，也可以采用在设备上运行的软件加密模块的形式。

硬件安全模块比软件更受青睐，因为它们具有不变性，较小的攻击面以及更可靠的行为。这样，它们可以提供更高程度的保证，以确保它们可以执行其受信任的功能。

在软件中保护和使用身份验证凭证和相应的私钥可能会增加密钥可能被盗或被破坏的风险。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• PCI 合规变得简单：5 种可以提供帮助的技术

• PCI DSS 4.0 合规性已迫在眉睫

• 支付型硬件安全模块在防止数据泄露中的作用

• 支付型硬件安全模块的5个主要优势

• 网络加密确保我们的动态数据对于商业服务的安全