我应该使用 2FA 还是 MFA？

使用一种形式的身份验证（例如密码）还远不够。由于用户名和密码容易受到攻击，希望增强安全性的组织可以依赖 2FA/MFA，从而确保有进一步的把握和可能性，允许经过身份验证的用户访问网站、应用程序和资源。根据个人需求，有时仅增一层额外的身份验证可能便足以安全（即 2FA）。但在身份验证过程中增加更多因素的确可以增强安全性，方法为在用户每次请求访问某些内容时引入多种身份验证因素：知识：用户了解的内容。持有：用户拥有的内容。生物特征识别：用户特征。位置：用户所处的地方。

最常见的身份验证器/身份验证令牌是什么？

透明身份验证器无需日常参与即可验证用户。数字证书 IP-地理定位设备身份验证用户在进行身份验证时携带和使用的有形设备。一次性实时密码 (OTP) 令牌显示卡网格身份验证一次性实时密码列表生物特征识别验证用户身份的方法，无需携带额外的物理设备。基于知识的身份验证带外身份验证移动智能凭证短信软令牌

什么是双因素身份验证？

Q: 什么是双因素身份验证？

双因素身份验证 (2FA) 是一种身份验证方法，要求用户 准确 提供两个验证因素才能获得网站、应用程序或资源的访问权限。 2FA 是 多重身份验证 (MFA) 的一部分。

Q: 2FA 与 MFA： 两者有何区别？

2FA 由两个 准确的 验证因素来识别身份（例如，密码和移动推送身份验证），而 MFA 则通过 至少 两个因素来识别身份（例如，密码、移动推送身份验证和生物特征识别验证）。 换言之，2FA 是 MFA 的一种形式。

Q: 我应该使用 2FA 还是 MFA？

使用一种形式的身份验证（例如密码）还远不够。 由于用户名和密码容易受到攻击，希望增强安全性的组织可以依赖 2FA/MFA，从而确保有进一步的把握和可能性，允许经过身份验证的用户访问网站、应用程序和资源。 根据个人需求，有时仅增一层额外的身份验证可能便足以安全（即 2FA）。 但在身份验证过程中增加更多因素的确可以增强安全性，方法为在用户每次请求访问某些内容时引入多种身份验证因素： 知识 ： 用户 了解 的内容。 持有 ： 用户 拥有 的内容。 生物特征识别 ： 用户 特征 。 位置 ： 用户所处 的地方。

Q: 最常见的身份验证器/身份验证令牌是什么？

透明身份验证器无需日常参与即可验证用户。 数字证书 IP-地理定位 设备身份验证 用户在进行身份验证时携带和使用的有形设备。 一次性实时密码 (OTP) 令牌 显示卡 网格身份验证 一次性实时密码列表 生物特征识别 验证用户身份的方法，无需携带额外的物理设备。 基于知识的身份验证 带外身份验证 移动智能凭证 短信软令牌

- 行业
  - 1. 金融
    2. 政府
    3. 教育
- 解决方案
  - 我们的专长
    1. 零信任
      保护身份和数据、降低风险，实现跨多云基础结构合规。
    2. 安全的数字客户互动
      从用户引导、发卡到交易，为金融客户提供安全无缝的互动。
    3. 安全的数字公民互动
      为电子政务 (eGov) 服务的启用和交付提供可信的公民身份。
  - 强大的身份
    1. 身份验证
      为公民提供高度安全的身份。
    2. 证件卡发行
      大批量或即时发行安全可靠的数字和实体证件卡。
    3. 用户身份
      通过使用各种身份验证器保护身份，提高可信度。
    4. 机器身份
      发放和管理强大的机器身份，以安全实现物联网和数字转型。
    5. 数字签名
      对数字文档使用安全、可验证的签名和印章。
  - 安全支付
    1. 金融发卡
      即时或集中发行金融实体卡
    2. 数字证卡解决方案
      通过银行的移动端APP直接向持卡人发放数字支付凭证。
    3. 安全交易
      确保企业、客户和公民之间达成经过身份验证的协议。
  - 数据保护
    1. 后量子密码学
      查找、评估您的加密资产，并为后量子时代做好准备。
    2. 数据库安全
      通过加密、密钥管理以及强大的策略和访问控制来保护数据库。
    3. 多云安全
      混合式、多云环境中的密钥、数据和工作负载保护与合规。
- 合规
  - 1. CMMC
    2. eIDAS
    3. NITES
- 产品特征
  - As a Service 产品
    1. 身份验证即服务
      专为满足移民、边境管理或电子政务服务提供而设计的公民身份验证。
    2. Identity as a Service (IDaaS)
      基于云的身份和访问管理解决方案。
    3. 数字签名服务
      基于云的数字化签名解决方案。
    4. 即时发卡服务
      使用统一的可信平台发行实体卡和移动端电子卡。
  - 1. 数字证卡解决方案
      即时配置直接向持卡人移动钱包的数字化支付凭证。
    2. PKI 即服务
      PKI 提供极致安全保障，可快速部署、按需扩展，且运行不受业务地点限制。
    3. nShield 即服务
      基于云的加密服务专用 nShield HSM 的订阅式访问权限。
    4. 无缝旅行即服务
      远程身份验证、数字旅行证件和非接触式边境流程。
  - 1. 即时发行金融卡
      分支机构和自助服务终端发行借记卡和信用卡。
    2. 集中式发行金融卡
      具有派发和插入可选功能的大批量金融卡发行。
    3. 即时发卡
      安全发行员工证、学生证、会员卡等。
    4. 集中式发卡
      护照、国民身份证和驾驶证。
    5. nShield HSM
      安全生成加密和签名密钥、创建数字签名、加密数据等。
  - 1. 云安全、加密和密钥管理
      适用于虚拟云和公共云、私有云和混合云环境的强大加密、策略和访问控制。
    2. 数字证书
      TLS/SSL、数字签名和合格证书，以及用于证书生命周期管理的服务和工具。
    3. 身份和访问管理 (IAM)
      适用于所有用户，包括员工、消费者和公民的一款身份认证产品组合。
    4. 机器身份管理
      机器身份的集中可见性、控制和管理。
    5. 后量子
      了解要迁移到抗量子密码学需采取的措施。
- 企业 ID 和发行
  - 即时发卡服务
    使用统一的可信平台发行实体卡和移动端电子卡。
    了解更多
  - 即时发卡
    1. Sigma 直印式发卡系统
    2. Artista 再转印发卡系统
    3. 系统软件
      个人化、编码和激活。
    4. 耗材
    5. HSM 服务
- 金融卡与发行
  - 数字证卡解决方案
    即时配置直接向持卡人移动钱包的数字化支付凭证。
    了解更多
  - 数字银行
    1. 数字账户开户
    2. 数字证卡解决方案
  - 即时发卡
    1. Sigma 直印式发卡系统
    2. Artista 再转印发卡系统
    3. 系统软件
      个人化、编码和激活。
    4. 耗材
    5. HSM 服务
  - 集中发卡
    1. 发卡系统
    2. 联机式卡片派发系统
    3. 联机邮封插页系统
    4. 独立式证卡粘贴/邮封插页系统
    5. 独立式邮封插页系统
    6. 系统软件
      个人化、编码、派发和分析。
    7. 耗材
    8. HSM 服务
- 政府证卡与发行
  - 数字公民
    1. 电子政务服务交付
    2. 身份验证即服务
    3. 无缝旅行即服务
    4. 电子护照即服务
  - 集中发卡
    1. 护照、国民身份证和驾驶证。
    2. 护照发行系统
    3. 国民身份证和驾驶证发行系统
    4. 在线卡片派发和邮封插入
    5. 独立式卡片派发和邮封插入
    6. 系统软件
      身份证个人化、编码和派发。
    7. 耗材
    8. HSM 服务
  - 即时发卡
    1. 其他公民证件和执照。
    2. Sigma 直印式发卡系统
    3. Artista 再转印发卡系统
    4. 系统软件
      个人化、编码、派发和分析。
    5. 耗材
    6. HSM 服务
  - 身份验证即服务
    我们的 IDVaaS 解决方案支持远程验证个人申报的身份，可用于移民、边境管理或数字服务交付等场景。
    了解更多
- 云安全态势管理
  - 1. 适用于 AWS 的 CloudControl Enterprise
      保护跨多个账户、区域和可用区的 AWS 配置并确保其合规性。
    2. 适用于容器的 CloudControl Enterprise
      适用于使用 VMware Tanzu 和 RedHat OpenShift 平台的容器和 Kubernetes 的安全合规性和环境安全强化解决方案。
    3. 适用于 SWIFT 的 CloudControl Enterprise
      满足 SWIFT 客户安全计划的合规性要求，同时保护虚拟基础设施和数据。
    4. 适用于 vSphere 和 NSX 的 CloudControl Enterprise
      针对 VMware vSphere NSX-T 和 VCF 的全面合规性、多重身份验证、二级批准、基于角色的访问控制 (RBAC)。
    5. CloudControl Foundation for vSphere
      针对 VMware vSphere、NSX-T 和 SDDC 以及相关工作负载和管理域的全面合规性
  - CloudControl 30 天免费试用
    Entrust CloudControl 在虚拟化、公有云和容器平台上提供全面的安全性和自动的合规性，同时能够提高可见性，并降低可能导致意外停机或安全隐患的风险。
    立即开始免费试用
- 密钥管理和加密
  - 1. Entrust KeyControl
      使用分散式保管库以及安全政策与法规的合规性管理仪表板，管理加密密钥和机密。
    2. KeyControl BYOK（自带密钥）
      在本地和云创建和管理加密密钥。管理您的密钥生命周期，同时保持对加密密钥的控制。
    3. 适用于数据库加密的 KeyControl
      与您的数据库集成，以对 TDE 加密密钥进行安全的生命周期管理。
    4. 适用于备份和恢复的 KeyControl
      与您的备份和恢复解决方案集成，以对加密密钥进行安全的生命周期管理。
  - 1. 适用于 Azure 的 KeyControl 虚拟机加密
      适用于 Azure 的数据加密、多云密钥管理和工作负载安全性。
    2. 适用于 AWS 的 KeyControl 虚拟机加密
      适用于 AWS 的数据加密、多云密钥管理和工作负载安全性。
    3. 适用于 IBM Cloud 的 KeyControl 虚拟机加密
      适用于 IBM 的数据加密、多云密钥管理和工作负载安全性。
  - KeyControl 30 天免费试用
    VMware vSphere 和 vSAN 加密需要外部密钥管理器，而 KeyControl 已获得 VMware Ready 认证，建议使用。 KeyControl 支持企业轻松地大规模管理所有加密密钥，包括密钥轮换频率以及如何安全共享密钥。
    开始免费试用
- 硬件安全模块 (HSM)
  - nShield 即服务
    1. 专用 nShield Cloud HSM 的订阅式访问权限。
  - nShield HSM
    1. nShield 5c
    2. nShield 连接
      向分布式应用程序提供加密密钥服务的联网设备。
    3. nShield 5s
    4. nShield Solo
      基于 PCI-Express 卡的 HSM。
    5. nShield Edge
      USB 连接的个人桌面 HSM。
  - 远程管理
    1. nShield Monitor
    2. nShield 远程管理
  - CodeSafe
    1. SDK 用于保护在 FIPS 140-2 3 级认证的 nShield HSM 内的敏感代码。
    2. 后量子 SDK
  - Software Option Packs
  - 合规性与认证
  - 为什么您需要 HSM
    1. 了解与硬件安全模块在安全和成本节省方面为您提供哪些功能相关的所有详细信息…
    2. 了解更多
  - 应用案例
- TLS/SSL 证书
  - 立即购买
    1. 购买证书
    2. 续订证书
  - TLS/SSL 证书
  - 合格证书
  - 销售与服务
- 身份和访问管理 (IAM)
  - 产品
    1. Identity as a Service 身份验证服务
      基于云的身份和访问管理
    2. 企业身份认证
      本地身份和访问管理
    3. 身份认证要素
      面向 Windows 用户的本地多重身份验证解决方案
    4. API 和 SDK
  - 集成
  - 用户感言
  - 员工
  - 消费者与公民
  - 免费获得 Entrust Identity as a Service 60 天
    了解 Identity as a Service 平台，该平台可让您访问一流的 MFA、SSO、基于风险的自适应身份验证以及众多高级功能，这些功能不仅可以确保用户安全，还可以提供最佳体验。
    开始免费试用
- 电子和数字签名
  - 欧盟合格的信托服务
    除了长期的 Adobe 批准信任列表 (AATL) 成员资格外，我们还是一家欧洲合格的信托服务提供商，负责为合格签名和高级印章、PSD2 证书和 QWAC 颁发 eIDAS 合格证书
    了解更多
  - 数字签名服务
  - 数字签名证书
  - 数字签名基础设施
- 公共信任证书
  - 针对 BIMI 的 Verified Mark 证书 (VMC)
    在电子邮件通信中显示官方徽标。下载白皮书，了解您需知道的关于 VMC 和 BIMI 标准的所有信息。
    了解更多
  - 购买和续订 TLS/SSL 证书
    1. 购买证书
    2. 续订证书
  - 代码签名证书
  - 合格证书
    1. PSD2 合格电子印章证书
  - 销售与服务
- 公钥基础设施 (PKI)
  - PKI 即服务
    1. 应用案例
    2. 后量子 PKIaaS
  - PKI 产品
  - 托管服务
  - 证书生命周期管理
  - 加密卓越中心
    1. PKI 运行状况检查
    2. 加密运行状况检查
  - 立即试用后量子 PKI 即服务
    准备好 PQ。PKIaaS PQ 可以为客户提供复合型和单一型量子 Certificate Authority 层次结构。
    立即试用
- 物联网 (IoT) 安全
  - 认证和配置
  - 机器身份管理
  - 全球 PKI 物联网趋势研究
    了解组织如何使用 PKI，以及是否准备好在更安全、更加互联的时代中发掘新的可能性。
    了解更多
- 机器身份管理
  - 生命周期管理
  - 认证和配置
  - 机器身份管理现状
    IDG（国际数据集团）最近的一项调查揭示了机器身份的复杂性，以及 IT 高管目前希望从管理解决方案中获得的功能。
    获取白皮书
- 后量子
  - 发卡和配置
    1. PKI 即服务 PQ
    2. PQ 标准与研究
  - 加密卓越中心
    1. 加密运行状况检查
    2. PKI 运行状况检查
  - 您准备好应对后量子计算的威胁了吗？
    通过我们的评估，了解为后量子时代做好准备的起步工作。
    开始评估
- 资源
  - 发卡系统知识库
    技术说明、产品公告、用户指南、产品注册、错误代码等。
    了解更多
  - 数字安全知识库
    指南、白皮书、安装帮助、常见问题解答和证书服务工具。
    了解更多
  - 网络安全研究所
    浏览我们的 Trust Matters 简报、讲解视频和网络安全研究所播客，获取有关安全概念的重要见解和指导。
    了解更多
- 合作伙伴
  - 与 Entrust 合作
    加入我们的一项或多项合作伙伴计划，我们将帮助您提高盈利能力、扩展品牌，并锁定战略客户。
    了解更多内容
  - 合作伙伴目录
    根据地点、产品、渠道或技术搜索合作伙伴。
    寻找合作伙伴
  - 计划
  - 合作伙伴登录
- 购买
  - 商店证书服务
    购买新的单张证书。
    了解更多
  - 证书服务客户门户网站
    现有的 Entrust 证书服务客户可以登录此网站发放和管理证书或购买其他服务。
    了解更多
  - 证书服务合作伙伴门户网站
    现有的合作伙伴可以配置新客户并管理库存。
    了解更多
  - 金融即时发卡耗材
    1. 注册客户登录
    2. 请求访问
- 公司简介
  - 1969 年以来，持续为不断发展的世界保驾护航
    纵观 Entrust 公司历史，我们已经在整个星球甚至太空建立了安全连接。我们通过证卡打印和发卡技术助力实现了借记卡和信用卡在消费领域的可信发展。通过边境管制证件解决方案为国际旅行保驾护航。使用 SSL 技术，打造互联网安全体验。利用身份验证产品套件保护网络和设备。
    探索我们的历史
  - 1. 领导层
    2. 活动
    3. 网络研讨会
    4. 博客
    5. 新闻
    6. 新闻稿
  - 网络安全研究所
    浏览我们的 Trust Matters 简报、讲解视频和网络安全研究所播客，获取有关安全概念的重要见解和指导。
    了解更多
- 搜索 Entrust
  - 搜索：

双因素身份验证 (2FA) 是一种身份验证方法，要求用户准确提供两个验证因素才能获得网站、应用程序或资源的访问权限。2FA 身份验证是多重身份验证的子集，后者需要至少两种形式的身份验证。借助 2FA，组织可增加一层额外的安全保护，抵御网络钓鱼、社会工程和暴力密码盗窃攻击等常见攻击类型。

为什么需要双因素身份验证？

如今，数据泄露变得更加普遍，已对全球企业造成了难以预估的影响，由其引发的年损失高达 2 万亿美元。单因素身份验证（尤其是基于密码的身份验证）远远无法满足组织对保护数字基础设施和资产安全的需求。由于密码安全机制欠佳，加之密码更换不频繁、跨帐户重复使用、经常与他人分享以及存放位置不安全，因此密码极易泄露。

如今，几乎每个企业用例都需要添加第二个因素来验证用户身份。

2FA 可以解决哪些威胁？

双因素身份验证为抵御许多最常见类型的网络威胁提供了额外保护，包括：

密码被盗：如上所述，密码安全机制欠佳使得密码容易遭到窃取。2FA 确保不能仅靠窃取的密码对帐户进行破坏。
暴力攻击（密码黑客攻击）：黑客利用越来越容易获得的计算能力来随机生成密码，直到“破解”代码为止。但是计算能力无法破解第二个因素。
网络钓鱼：网络钓鱼仍然是窃取用户凭据最常见、也是最有效的手段之一。同样，如果通过网络钓鱼攻击盗取了用户名和密码，2FA 可以阻止未授权的访问。
社交工程：狡猾的黑客越来越多地利用社交媒体发起攻击，诱导用户自愿泄露凭据。但是没有第二个因素，黑客便无法访问帐户。

双因素身份验证的工作原理是什么

目前，几乎每个人都熟悉基本的 2FA 登录流程。虽然具体情况因所使用的因素而异，但基本流程如下：

应用程序/网站提示用户进行登录。
用户提供第一个因素。第一个因素几乎都是用户“知道”的东西，例如用户名/密码组合，或是由硬件令牌或智能手机应用程序生成的一次性实时密码。
网站/应用程序验证第一个因素，然后提示用户提供第二个因素。第二个因素通常是用户“拥有”的东西，例如安全令牌、身份证卡、智能手机应用程序等。
网站/应用程序验证了第二个因素后，用户将被授予访问权限。

双因素身份验证 (2FA) 有哪些示例？

身份验证器和身份验证令牌包括四个主要类别：您拥有的、您知道的、您的一部分，或您所处的位置。

您拥有的：实体进出卡、智能手机或其他设备，或数字证书
您知道的：PIN 码或密码
您的一部分：生物识别，例如指纹或视网膜扫描

从技术上讲，传统用户名/密码组合是双因素身份验证的基本形式。但是，由于用户名和密码都属于“您知道的”类别，因此这种组合更容易泄露。

身份验证器/因素的历史

硬件令牌

硬件令牌是用户为获得对资源的访问而出示的小型物理设备。硬件令牌可采用连接的方式（即 USB、智能卡、一次性电子密码钥匙链）或非接触的方式（即蓝牙令牌）。此类令牌由用户携带。RSA 于 1993 年推出的第一种现代 2FA 形式使用的是带有小型屏幕的手持设备，该屏幕会显示随机生成的数字，这些数字与算法相匹配，以验证设备的持有者。硬件令牌也有丢失或被盗的风险。

基于短信的令牌

随着手机的迅速普及，基于短信的 2FA 也随之流行。用户输入用户名，然后通过短信（短消息）收到一次性实时密码 (OTP)。类似的方法还有，使用手机语音呼叫提供一次性实时密码。在这两种情况下，一次性实时密码的传输都相对容易遭到黑客入侵，使其成为一种不甚理想的 2FA 形式。

基于应用程序的令牌

智能手机和其他智能移动设备的问世使基于应用程序的 2FA 备受欢迎。用户在其设备上安装应用程序（也可以用于桌面）。用户登录时，应用程序会提供“软令牌”（例如一次性实时密码），该令牌显示在设备上，且必须将其输入到登录界面中。由于软令牌由设备上的应用程序生成，因此消除了一次性实时密码或软令牌在传输过程中被拦截的风险。

推送通知

从用户的角度来看，这可能是最顺畅方便的方式，通过推送通知的 2FA 无需用户输入软令牌。相反，网站或应用程序会直接向用户的移动设备发送推送通知。该通知会提醒用户尝试身份验证，并要求用户通过单击或点击来批准或拒绝访问。这种 2FA 方法具有很高的安全性和便利性，但依赖于互联网的连接情况。

免密身份验证器

可用的身份验证器类型已将免密选项纳入其中，例如用于身份验证的 FIDO、生物识别和基于 PKI 的数字凭证。

2FA 与 MFA：两者有何区别？

双因素身份验证 (2FA) 要求用户提供两种类型的身份验证，而多重身份验证 (MFA) 要求用户提供至少两种（甚至更多）类型的身份验证。这意味着所有 2FA 都属于多重身份验证，而并非所有多重身份验证都属于 2FA。多重身份验证可能需要身份验证器和身份验证令牌的任意组合才能访问资源、应用程序或网站，而 2FA 仅需要两个预定义的验证器即可访问资源。根据贵组织的需求，2FA 身份验证可能会为您提供更进一步的安全保护，同时为最终用户提供流畅的体验。

如何为 2FA 选择正确因素

上文讨论了可用于实现双因素身份验证的各类因素。在各类身份验证器中，也有许多不同的选项可供选择，而且新技术也在不断涌现。如何选择用于 2FA 协议的因素？以下几个问题将帮助您做出正确选择：

您是否希望身份验证对用户透明？
您希望用户携带物理设备还是在线进行身份验证？
您是否希望网站本身也向用户进行身份验证？
您保护的信息有多敏感？相关风险有哪些？
用户要求中是否涉及要物理访问（链接）办公室、实验室或其他区域？

借助高度安全的多重身份验证，Entrust 将提供专业指导，让您的安全性更进一步。我们支持最广泛的 2FA 安全身份验证器，使您能够选择适合安全需求和用例的最佳选项。更重要的是，Entrust 可以提供专家咨询指导，帮助您做出正确选择并简化向高度安全双因素身份验证的转变。

双因素身份验证的用例

双因素身份验证是最普遍的多重身份验证形式，这使其非常适合各种群体需要访问数据的用例。例如，医疗保健应用程序通常使用 2FA，因为这种形式可以让医生和其他临床医生按需访问（通常使用个人设备）敏感的患者数据。

同样，使用 2FA 的银行和金融应用程序可以更好地帮助保护账户信息免遭网络钓鱼和社会工程攻击，同时为消费者提供移动银行服务。

2FA 的行业应用：

医疗保健业
银行
零售
高等院校
社交媒体
政府/联邦机构

双因素身份验证有哪些威胁/风险？

黑客需采取多种方法才能试图突破多重身份验证和 2FA 的安全防线。其中包括：

社交工程：在社交工程攻击中，黑客冒充合法来源，索要个人身份信息。
技术攻击：技术攻击包括恶意软件和木马病毒。
物理盗窃：不良行为者实际拥有的智能手机或其他移动设备可能会对 2FA 构成威胁。
破坏帐户恢复：由于密码重置过程通常会绕过 2FA，因此黑客有时可以仅利用用户名便可破坏 2FA。

双因素身份验证足够安全吗？

相比单因素身份验证（尤其是传统基于密码的身份验证及其所有人为因素缺陷），2FA 有了一大进步。这种方法安全度足够，但多重身份验证 (MFA) 如今被认为是验证用户身份的最佳解决方案。支付卡行业数据安全标准等合规性要求也已将 2FA 替换为多重身份验证，政府实体正在联邦机构间强制执行多重身份验证。借助多重身份验证，可以添加更多形式的因素（并非密码）来增强安全性。结合设备验证使用生物识别进行用户身份验证并添加基于风险的上下文控制，可以在授予访问权限之前评估用户和设备的风险状况。具有免密选项和基于风险的自适应身份验证的多重身份验证是增强安全性的趋势所向。

最常见的身份验证器/身份验证令牌有什么？

透明身份验证
物理形态的身份验证
非物理形态的身份验证

透明身份验证器无需日常参与即可验证用户。

数字证书
IP-地理定位
设备身份验证