📚 本文属于专题:强身份与无密码认证
一、什么是强身份认证
强身份认证(Strong Authentication)指:使用两个或多个来自不同类别的独立因素来验证身份,并在此基础上叠加自适应风险信号与持续的会话监控——它比「基础 MFA」更进一步,要求因子彼此独立、且能随风险动态调整。
换句话说,强不强,看三件事:因子是否多类、独立;是否能抗钓鱼、抗重放;是否能根据风险与上下文动态加强。
二、和普通登录、MFA 有什么区别
| 对比 | 单因子(口令) | 基础 MFA(密码 + 短信码) | 强身份认证 |
|---|---|---|---|
| 因子数量与类别 | 1 个 | 2 个,但都偏「共享秘密」 | ≥2 个,且来自不同类别、彼此独立 |
| 抗钓鱼 / 重放 | 弱 | 中(验证码可被实时转发) | 强(绑定来源、私钥不可输入) |
| 风险自适应 | 无 | 少 | 有:按设备、位置、行为动态调整 |
| 会话 | 登录即放行 | 登录即放行 | 持续监控,可中途要求重认证 |
三、认证因子的三大类别
所有认证因子可归为三类,外加一类「自适应信号」作辅助:
| 类别 | 含义 | 例子 |
|---|---|---|
| 你知道的(Knowledge) | 记忆中的秘密 | 口令、PIN、安全问题 |
| 你拥有的(Possession) | 持有的物 | 手机、UKey、硬件密钥、OTP 令牌 |
| 你是什么(Inherence) | 生物特征 | 人脸、指纹、声纹 |
| 自适应信号(辅助) | 位置 / 设备 / 行为 | IP 与常用地、设备指纹、操作习惯 |
「强」的关键不是因子越多越好,而是跨类别组合 + 因子本身抗窃取。例如「人脸 + 设备私钥」就是跨类别(你是什么 + 你拥有的),且私钥不可输入、不可转发。
四、六种常见的强认证方法
| 方法 | 特点 | 说明 |
|---|---|---|
| 自适应 MFA | 按风险动态加因子 | 低风险少打扰,高风险加强验证 |
| FIDO2 / 硬件密钥 | 抗钓鱼、公钥体系 | 私钥不出设备,绑定来源域名 |
| 生物识别 | 体验好、零记忆 | 需关注模板存储与个保法合规 |
| 无密码认证 | 消除共享秘密 | 没有可被拖库、钓鱼的密码 |
| OTP 动态口令 | 一次性、低成本 | 仍是共享种子,抗钓鱼较弱 |
| CA 证书 / UKey | 具法律效力 | 强但依赖额外硬件 |
这些方法不是相互替代,而是按场景组合。趋势很明确:从「共享秘密」走向「非对称密钥 + 生物因子」——这也是 FIDO2 与无密码人脸认证的共同方向。
五、工作流程
六、核心价值
| 维度 | 带来的改变 |
|---|---|
| 安全 | 跨类别因子 + 抗钓鱼,显著降低账号被盗、撞库、钓鱼风险 |
| 合规 | 满足等保 2.0 对高权限系统的强认证要求,便于审计举证 |
| 体验 | 自适应策略让低风险场景少打扰,无密码/生物因子降低记忆负担 |
七、在中国语境下:等保、个保法、国密
国外文章谈「合规」多指 NIST / GDPR;在国内,强身份认证要对应三条线:
| 要求 | 对强认证的含义 |
|---|---|
| 等保 2.0(三级及以上) | 重要/高权限系统须采用含密码技术的多因素强认证,并具备完整审计 |
| 《个人信息保护法》第 28 条 | 人脸等生物特征属敏感个人信息,须「最小化处理」——能不存就不存,特征不离端最稳妥 |
| 商用密码 / 密评 | 认证中的密码算法建议采用国密 SM2/SM3/SM4,并通过商用密码应用安全性评估 |
八、落地最佳实践
九、行业场景
| 行业 | 强认证的着力点 |
|---|---|
| 金融 | 大额交易、风控操作强认证;个保法下的人脸采集合规 |
| 医疗 | 电子病历、处方等敏感数据访问的强身份与审计 |
| 政务 | 等保三级系统、跨部门数据共享的强认证与不可否认 |
| 高校 | 统一身份认证(SSO)、考试身份核验、高权限系统 |
常见问题(FAQ)
强身份认证和 MFA 是一回事吗?
不完全是。MFA 是手段,强身份认证是目标。强身份认证要求两个或多个来自不同类别的独立因素,且因子能抗钓鱼、能随风险自适应。「密码 + 短信码」属于 MFA,但两个因子都是可被窃取或转发的共享秘密,并不算真正的强认证。
等保 2.0 要求强身份认证吗?
是。等保 2.0 对三级及以上的重要或高权限系统,要求采用含密码技术的多因素强认证,并具备完整的审计记录。仅用口令的单因子认证无法满足三级的身份鉴别要求。
《个人信息保护法》允许用人脸登录吗?
允许,但人脸属于敏感个人信息,须遵循第 28 条的「最小化处理」与单独同意等要求。最稳妥的做法是生物特征本地处理、不上传不存储——「不存储」就从根上规避了泄露风险与合规举证压力。
无密码认证算强身份认证吗?
取决于实现方式。基于非对称密钥、生物因子且抗钓鱼的无密码(如 FIDO2、无密码人脸认证)属于强身份认证;而仅把密码换成一次性短信码并不算。关键在于因子跨类别、且不可被窃取或转发。
短信验证码(OTP)够安全吗?
作为主因子不够。短信和 OTP 都是共享秘密,可被钓鱼页面实时转发、被 SIM Swap 劫持。建议高价值系统改用抗钓鱼因子(FIDO2、绑定来源的密钥、无密码),短信仅在低风险场景作为备用。
强身份认证一定要用国密算法吗?
看合规要求。若系统需要通过商用密码应用安全性评估(密评),认证环节的密码算法建议采用国密 SM2/SM3/SM4,这是最直接的合规路径;纯国际算法在涉及国密要求的政务、金融场景需要额外说明。
小结
强身份认证 ≠ 多塞几个因子,而是:跨类别的独立因子 + 抗钓鱼 + 自适应风险 + 持续监控。在国内落地,最优路径是往「无密码 + 生物因子 + 不存储 + 国密」演进——既满足等保与密评的强认证要求,又用「不存储」把个保法合规成本降到最低。
延伸阅读:把口令、短信、OTP、UKey、传统生物特征等 6 类方式与无密码人脸认证逐项对比,见《传统身份鉴别 vs FacePass 隐私保护人脸识别》;强认证在高校 SSO 场景的落地,见《高校统一身份认证(SSO)走向无密码》。
