数安商用密码
数安商用密码

强身份认证(Strong Authentication)入门:与 MFA 的区别、因子分类与落地实践

「强身份认证」(Strong Authentication)这个词常和 MFA 混用,但二者并不等同。本文从定义讲起:什么是强身份认证、和普通登录与 MFA 的区别、认证因子如何分类、有哪些常见方法、怎么落地,并结合等保 2.0、《个人信息保护法》与国密的本土语境,给出从口令到无密码的演进路径。

一、什么是强身份认证

强身份认证(Strong Authentication)指:使用两个或多个来自不同类别的独立因素来验证身份,并在此基础上叠加自适应风险信号持续的会话监控——它比「基础 MFA」更进一步,要求因子彼此独立、且能随风险动态调整。

换句话说,强不强,看三件事:因子是否多类、独立;是否能抗钓鱼、抗重放;是否能根据风险与上下文动态加强。

二、和普通登录、MFA 有什么区别

对比单因子(口令)基础 MFA(密码 + 短信码)强身份认证
因子数量与类别1 个2 个,但都偏「共享秘密」≥2 个,且来自不同类别、彼此独立
抗钓鱼 / 重放中(验证码可被实时转发)强(绑定来源、私钥不可输入)
风险自适应有:按设备、位置、行为动态调整
会话登录即放行登录即放行持续监控,可中途要求重认证
💡
MFA 是手段,强身份认证是目标。「密码 + 短信码」是 MFA,但两个因子都属于可被窃取或转发的共享秘密,并不算真正的强认证。

三、认证因子的三大类别

所有认证因子可归为三类,外加一类「自适应信号」作辅助:

类别含义例子
你知道的(Knowledge)记忆中的秘密口令、PIN、安全问题
你拥有的(Possession)持有的物手机、UKey、硬件密钥、OTP 令牌
你是什么(Inherence)生物特征人脸、指纹、声纹
自适应信号(辅助)位置 / 设备 / 行为IP 与常用地、设备指纹、操作习惯

「强」的关键不是因子越多越好,而是跨类别组合 + 因子本身抗窃取。例如「人脸 + 设备私钥」就是跨类别(你是什么 + 你拥有的),且私钥不可输入、不可转发。

四、六种常见的强认证方法

方法特点说明
自适应 MFA按风险动态加因子低风险少打扰,高风险加强验证
FIDO2 / 硬件密钥抗钓鱼、公钥体系私钥不出设备,绑定来源域名
生物识别体验好、零记忆需关注模板存储与个保法合规
无密码认证消除共享秘密没有可被拖库、钓鱼的密码
OTP 动态口令一次性、低成本仍是共享种子,抗钓鱼较弱
CA 证书 / UKey具法律效力强但依赖额外硬件

这些方法不是相互替代,而是按场景组合。趋势很明确:从「共享秘密」走向「非对称密钥 + 生物因子」——这也是 FIDO2 与无密码人脸认证的共同方向。

五、工作流程

1
发起认证
用户在登录入口发起请求,系统识别要访问的资源与风险等级。
2
多因子校验
校验来自不同类别的独立因素(如生物特征 + 设备密钥),优先使用抗钓鱼因子。
3
自适应风险判定
结合设备、位置、行为等信号评估风险:低风险放行,高风险加强或拒绝。
4
签发凭证并持续监控
通过后签发会话/Token,并对会话持续监控,异常时要求重认证。

六、核心价值

维度带来的改变
安全跨类别因子 + 抗钓鱼,显著降低账号被盗、撞库、钓鱼风险
合规满足等保 2.0 对高权限系统的强认证要求,便于审计举证
体验自适应策略让低风险场景少打扰,无密码/生物因子降低记忆负担

七、在中国语境下:等保、个保法、国密

国外文章谈「合规」多指 NIST / GDPR;在国内,强身份认证要对应三条线:

要求对强认证的含义
等保 2.0(三级及以上)重要/高权限系统须采用含密码技术的多因素强认证,并具备完整审计
《个人信息保护法》第 28 条人脸等生物特征属敏感个人信息,须「最小化处理」——能不存就不存,特征不离端最稳妥
商用密码 / 密评认证中的密码算法建议采用国密 SM2/SM3/SM4,并通过商用密码应用安全性评估
一个本土最优解的轮廓:跨类别因子(人脸 + 设备密钥)+ 抗钓鱼(私钥不可输入)+ 生物特征不离端不存储(合个保法)+ 国密算法(过密评)
🏛️
一线经验:我们在政务密码应用与密评合规项目中(广州市政法委、清远市中级人民法院、广东省交通厅等机构),平均 4 周交付、密评首次通过率 100%、安全事故记录为零。本文建议的「国密算法 + 全链路可审计」正是这些项目验证过的路径;强认证场景中的无密码人脸认证(特征不离端、不存储)是在此基础上的延伸。高校等新场景,建议从校园网 VPN 等低风险点做 POC 起步。详见 客户案例

八、落地最佳实践

1
从高价值、高权限系统优先
财务、人事、科研、运维等核心系统先上强认证,按风险分级推进。
2
优先选抗钓鱼因子
FIDO2、无密码、绑定来源的密钥优先;尽量少用纯短信 OTP 作为主因子。
3
用自适应策略平衡安全与体验
常用设备/常用地低打扰,异常环境再加强,避免「一刀切」拖累效率。
4
保留降级与恢复路径
设备丢失、生物识别失败时有安全的备用与账号恢复机制,避免锁死用户。
5
全链路可审计
认证与会话事件留痕,为等保测评、密评与个保法举证提供技术证据。

九、行业场景

行业强认证的着力点
金融大额交易、风控操作强认证;个保法下的人脸采集合规
医疗电子病历、处方等敏感数据访问的强身份与审计
政务等保三级系统、跨部门数据共享的强认证与不可否认
高校统一身份认证(SSO)、考试身份核验、高权限系统

常见问题(FAQ)

强身份认证和 MFA 是一回事吗?

不完全是。MFA 是手段,强身份认证是目标。强身份认证要求两个或多个来自不同类别的独立因素,且因子能抗钓鱼、能随风险自适应。「密码 + 短信码」属于 MFA,但两个因子都是可被窃取或转发的共享秘密,并不算真正的强认证。

等保 2.0 要求强身份认证吗?

是。等保 2.0 对三级及以上的重要或高权限系统,要求采用含密码技术的多因素强认证,并具备完整的审计记录。仅用口令的单因子认证无法满足三级的身份鉴别要求。

《个人信息保护法》允许用人脸登录吗?

允许,但人脸属于敏感个人信息,须遵循第 28 条的「最小化处理」与单独同意等要求。最稳妥的做法是生物特征本地处理、不上传不存储——「不存储」就从根上规避了泄露风险与合规举证压力。

无密码认证算强身份认证吗?

取决于实现方式。基于非对称密钥、生物因子且抗钓鱼的无密码(如 FIDO2、无密码人脸认证)属于强身份认证;而仅把密码换成一次性短信码并不算。关键在于因子跨类别、且不可被窃取或转发。

短信验证码(OTP)够安全吗?

作为主因子不够。短信和 OTP 都是共享秘密,可被钓鱼页面实时转发、被 SIM Swap 劫持。建议高价值系统改用抗钓鱼因子(FIDO2、绑定来源的密钥、无密码),短信仅在低风险场景作为备用。

强身份认证一定要用国密算法吗?

看合规要求。若系统需要通过商用密码应用安全性评估(密评),认证环节的密码算法建议采用国密 SM2/SM3/SM4,这是最直接的合规路径;纯国际算法在涉及国密要求的政务、金融场景需要额外说明。

小结

强身份认证 ≠ 多塞几个因子,而是:跨类别的独立因子 + 抗钓鱼 + 自适应风险 + 持续监控。在国内落地,最优路径是往「无密码 + 生物因子 + 不存储 + 国密」演进——既满足等保与密评的强认证要求,又用「不存储」把个保法合规成本降到最低。

延伸阅读:把口令、短信、OTP、UKey、传统生物特征等 6 类方式与无密码人脸认证逐项对比,见《传统身份鉴别 vs FacePass 隐私保护人脸识别》;强认证在高校 SSO 场景的落地,见《高校统一身份认证(SSO)走向无密码》