强制执行 MFA 并转向 Passkeys：最佳实践

多因素身份验证 (MFA) 已经从主动用户的安全功能，果断转变为全球组织不可协商的强制性现实。这种转变并非出于选择，而是出于必要，其背后是持续不断的基于凭证的网络攻击和日益增长的监管压力。从金融服务到公共部门的各个行业，现在都在将 MFA 作为合规基线的框架下运营。在这个强制执行而非选择性提供 MFA 的新时代，带来了一系列复杂的挑战，这些挑战远超出了最初的技术实施范畴。

当每个用户都必须使用 MFA 时，每个组织都必须回答一系列新的关键问题。本文将深入探讨这些挑战，并提供一条清晰的前进道路。我们将讨论：

1. 在大规模强制执行 MFA 时，有哪些隐藏的运营成本和用户体验陷阱？

2. 当有选择时，用户实际会采用哪些 MFA 方法？这又会带来哪些安全风险？

3. 在强制执行的环境下，账户恢复为何成为新的主要挑战？解决这一问题需要做出哪些权衡？

4. 为什么 Passkeys 是解决 MFA 强制执行所产生问题的战略性方案，而不仅仅是另一个选项？

5. 从强制执行的传统 MFA 成功过渡到具有卓越安全性和用户体验的 Passkeys，有哪些实用、分步的蓝图？

本分析将为从单因素身份验证成功过渡到强制 MFA（再到强制 Passkeys）提供一个清晰、可行的蓝图。

在探讨强制执行的挑战之前，我们必须先清楚地了解身份验证的现状，以及为什么强制执行会从根本上改变它。相关术语本身可能会引起混淆，但对于任何安全或产品战略来说，区分这些术语至关重要。

身份验证的演变，是对其最基本形式固有弱点的直接回应。

• 单因素身份验证 (SFA)： 我们熟悉的用户名和密码组合。它依赖于单一的“知识”因素，即用户知道的东西。它容易受到网络钓鱼 (phishing)、凭证填充 (credential stuffing) 和暴力破解攻击的漏洞影响，这也是推动采用更强方法的首要原因。

• 两步验证 (2SV)： 2SV 常常与 MFA 混用，但它是一个独立且较弱的流程。它需要两个验证步骤，但可能使用来自同一类别的两个因素。一个常见的例子是密码后跟一个安全问题，这两者都属于“知识”因素。虽然比 SFA 好，但它不符合真正的多因素安全标准。

• 多因素身份验证 (MFA)： 作为安全领域的黄金标准，MFA 要求至少从两个不同类别的身份验证因素中进行验证。三个主要类别是：

  • 知识： 用户知道的东西（例如，密码、PIN）。

  • 拥有： 用户拥有的东西（例如，接收验证码的手机、硬件安全密钥）。

  • 内在特征： 用户自身的生物特征（例如，指纹、面部识别）。

从可选 MFA 到强制 MFA 的转变是一次范式转变。一个可选的系统允许最具安全意识的用户逐步采用，从而掩盖了真正的痛点。而强制执行则迫使从技术达人到技术小白的整个用户群体同时转向新系统，暴露了用户体验和支持结构中的每一个缺陷。

这一转变因监管催化剂而加速，其中最引人注目的是欧洲的第二次支付服务指令 (PSD2) 及其对强客户认证 (SCA) 的要求。该法规通过强制要求大多数在线交易使用 MFA，从根本上重塑了欧洲的支付格局。PSD2 迫使金融机构采用开放 API 和更强的安全性，为强制身份验证提供了一个大规模的真实世界案例研究。

SCA 的主要目标是通过要求电子支付使用两个独立的身份验证因素来减少欺诈。然而，最初的推广造成了巨大的摩擦，一些欧洲商户因用户困惑和购物车放弃而损失了近 40% 的交易。随着时间的推移，生态系统逐渐适应，欧洲中央银行 2024 年 8 月的一份报告证实，经过 SCA 认证的交易现在的欺诈率要低得多。这证明了其长期的安全效益，但也凸显了平衡安全性与用户体验的迫切需求。

虽然这些强制措施最初会产生摩擦，但它们也创造了一个非自愿的大规模教育环境。当数百万用户被银行强制要求用指纹或验证码来批准交易时，他们就熟悉了第二因素的概念。这种由法规驱动的正常化，反而为其他组织铺平了道路。对话可以从“什么是 MFA？我为什么需要它？”演变为“这是我们新的、更简单的安全验证步骤，你已经很熟悉了。” 这为引入像 Passkeys 这样的卓越体验奠定了完美的基础。

如果你想了解更多关于这些法规及其与 Passkeys 关系的具体信息，可以浏览以下资源：

• PSD2 和 SCA 要求分析

• SCA 要求对 Passkeys 意味着什么

• PSD2 Passkeys：防网络钓鱼且符合 PSD2 的 MFA

• PSD3 / PSR 对 Passkeys 的影响

• PSD3 / PSR 下的委托身份验证与 Passkeys

在整个用户群中强制执行 MFA，会暴露出许多在初步规划时常常被低估的实际挑战。这些问题会影响用户体验、安全状况和运营成本。

当注册成为强制性要求时，糟糕的用户体验就不再仅仅是令人烦恼，而是成为业务运营的直接障碍。组织通常在两种策略之间选择：强制注册，即要求在下次登录时设置 MFA；或渐进式注册，即随时间推移提示用户。虽然强制注册能更快地实现合规，但如果流程不顺畅，可能会导致更高的用户挫败感和流失率。成功的关键在于遵循用户体验最佳实践，例如提供多种身份验证方法、提供清晰明了的说明，并通过提供基于文本的密钥以及用于身份验证器应用的 QR 码等方式，确保所有用户都能访问。

一旦账户启用了 MFA，丢失第二因素就意味着被完全锁定。在强制执行的世界里，这不再是少数注重安全的用户遇到的个别事件；它变成了整个用户群和为他们服务的支持团队面临的一个普遍而严峻的挑战。这使得账户恢复成为最大的挑战。

经济成本很高：一次由支持团队主导的密码或 MFA 重置，平均会给公司造成 70 美元的成本。对于一个拥有数十万用户的组织来说，即使只有一小部分人需要恢复，也可能转化为数百万美元的运营成本和生产力损失。

组织不得不在安全性、成本和便利性之间做出艰难的权衡：

• 支持团队主导的恢复： 支持人员可以通过视频通话或其他方式验证用户身份。这是一个安全、经过人工验证的流程，但成本高昂且难以规模化，对大多数企业来说是不可持续的。

• 基于电子邮件/短信的恢复： 这是最常见的方法，因为它成本低且用户熟悉。然而，这也是一个严重的安全漏洞。如果攻击者已经攻破了用户的电子邮件账户（这是其他攻击的常见前兆），他们就能轻易拦截恢复码，从而完全绕过 MFA。这种方法实际上抵消了强制执行旨在提供的安全效益。

• 预先注册的备用码： 在注册过程中，向用户提供一组一次性使用的备用码。虽然比电子邮件恢复更安全，但这种方法给初始设置增加了摩擦。此外，用户常常未能安全地存储这些代码或将它们丢失，最终还是会回到同样的锁定问题。

• 自拍 ID 验证： 这种高保障方法要求用户拍摄一张实时自拍和一张政府颁发的身份证件（如驾照或护照）的照片。然后，由人工智能系统将面部与身份证件进行匹配以确认身份。虽然在银行和金融服务等在 Onboarding 期间验证身份的领域很常见，但它引起了一些用户的隐私担忧，并要求他们手头有实体身份证件。

• 数字凭证和钱包： 一个新兴且具有前瞻性的选择是使用存储在数字钱包中的可验证数字凭证。用户可以出示来自可信发行方（如政府或银行）的凭证来证明自己的身份，而无需经过特定于服务的恢复流程。这种方法仍处于早期阶段，但它预示着一个更便携、用户可控的身份验证未来。

任何 MFA 系统中一个常见且关键的故障点是设备生命周期。当用户换新手机时，其身份验证方法的连续性至关重要。

• 短信 (SMS)： 这种方法相对便携，因为电话号码可以通过新 SIM 卡转移到新设备上。然而，这个过程本身正是 SIM 卡交换攻击中被利用的攻击向量，欺诈者会说服移动运营商将被盗号码转移到他们控制的 SIM 卡上。

• 身份验证器应用 (TOTP)： 这是用户摩擦的主要来源。除非用户在其身份验证器应用中主动启用了云备份功能（该功能并非通用，也并非总被使用），否则生成代码的密钥会随旧设备一同丢失。这迫使用户为他们保护的每一项服务都进行一次完整且通常痛苦的账户恢复过程。

• 推送通知： 与 TOTP 应用类似，基于推送的 MFA 与注册设备上的特定应用安装绑定。新手机需要重新注册，从而引发同样的恢复挑战。

当一个组织强制执行 MFA 并提供多种方法选择时，一个可预见的模式就会出现：超过 95% 的用户会倾向于他们最熟悉且认为最简单的方式，这通常是基于短信的一次性密码 (OTP)。这种行为产生了一个悖论。一位 CISO 可以强制执行 MFA 以提高安全性。然而，如果许多用户继续依赖像短信这样易受网络钓鱼攻击的方法，那么组织即使实现了 100% 的合规，也未能实质性地提升其抵御复杂攻击的能力。认识到这一点，像微软这样的平台推出了“系统首选 MFA”，主动引导用户选择更安全的选项，如身份验证器应用，而不是短信或语音通话。这凸显了一个关键教训：仅仅强制执行 MFA 是不够的。MFA 的类型至关重要，组织必须积极引导用户远离较弱、易受网络钓鱼攻击的因素。

强制执行 MFA 的决定对运营资源有直接且可衡量的影响。它不可避免地会引发与注册问题、丢失身份验证器和恢复请求相关的支持工单激增。Gartner 的研究表明，所有 IT 支持电话中已有 30-50% 是关于密码相关问题的；强制 MFA，特别是与繁琐的恢复流程相结合时，会显著加剧这一负担。这转化为首席技术官和项目经理必须预见的直接成本。此外，支持团队本身也成为社会工程学攻击的主要目标，攻击者会冒充沮丧、被锁定的用户，诱骗支持人员为他们重置 MFA 因素。

通过研究大规模、真实世界中强制执行 MFA 的实施案例，我们可以获得关于哪些方法有效、哪些会产生巨大摩擦的宝贵经验。与其关注特定公司，我们可以将这些经验提炼成几条普遍真理。

• 初始摩擦不可避免，但可以管理： 欧洲 SCA 的推行表明，强制改变用户行为，即使是为了安全，最初也会损害转化率。然而，这也表明，通过优化流程和用户习惯的养成，这些负面影响可以随着时间的推移而减轻。关键在于预见这种摩擦，并从一开始就设计出最简化、最友好的流程。

• 用户选择是一把双刃剑： 当有选择时，用户总是会选择阻力最小的路径，这通常意味着选择像短信这样熟悉但不太安全的 MFA 方法。这导致了一种“表面合规”的状态，即组织在字面上满足了强制要求，但没有领会其精神，仍然容易受到网络钓鱼攻击。一个成功的策略必须积极引导用户选择更强大、防网络钓鱼的选项。

• 恢复成为阿喀琉斯之踵： 在一个强制执行的世界里，账户恢复从一个边缘案例转变为一个主要的运营负担和一个关键的安全漏洞。依赖电子邮件或短信进行恢复会破坏整个安全模型，而由支持团队主导的恢复在经济上是不可持续的。一个稳健、安全且用户友好的恢复过程不是事后考虑的问题，而是任何成功强制执行的核心要求。

• 分阶段推行能显著降低风险： 试图对整个用户群进行“大爆炸”式的一次性全面推行是一种高风险策略。一种更审慎、在大型企业部署中得到验证的方法是，首先在较小的、非关键的用户群体中试行新系统。这使得项目团队能够在全面部署前，在一个受控的环境中识别和解决错误、优化用户体验并收集反馈。

• 集中的身份平台是强大的推动力： 拥有预先存在的、集中的身份与访问管理 (IAM) 或单点登录 (SSO) 平台的组织，在顺利推行方面处于更有利的地位。一个集中的身份系统可以快速、一致地将新的身份验证策略应用于成百上千个应用程序，从而显著降低项目的复杂性和成本。

Passkeys 基于 FIDO 联盟 的 WebAuthn 标准构建，它们不仅仅是传统 MFA 的增量改进。其底层架构基于公钥加密技术，专为解决由 MFA 强制执行所带来的最痛苦和最持久的问题而设计。

• 解决恢复的噩梦： 强制 MFA 的最大挑战是账户恢复。Passkeys 直面这个问题。Passkey 是一种加密凭证，可以通过用户的平台生态系统（如苹果的 iCloud 钥匙串 或谷歌密码管理器）在设备间同步。如果用户丢失了手机，他们的 Passkey 在笔记本电脑或平板电脑上仍然可用。这大大减少了账户被锁定的频率，并减轻了对电子邮件等不安全恢复渠道或昂贵的帮助台干预的依赖。

• 解决设备生命周期问题： 因为 Passkeys 是同步的，所以更换新设备的体验从一个高摩擦点转变为无缝过渡。当用户在新手机上登录他们的谷歌或苹果账户时，他们的 Passkeys 会自动恢复并随时可用。这消除了传统设备绑定的身份验证器应用所需的痛苦的、逐个应用的重新注册过程。

• 解决用户偏好悖论： Passkeys 解决了安全性与便利性之间的经典权衡。最安全的身份验证方法——防网络钓鱼的公钥加密技术——同时也是对用户来说最快、最简单的方法。只需一个生物识别手势或设备 PIN 码即可。用户没有动力去选择一个较弱、不太安全的选项，因为最强的选项也是最方便的。

• 解决网络钓鱼漏洞： Passkeys 在设计上就是防网络钓鱼的。在注册过程中创建的加密密钥对与网站或应用的特定来源（例如 corbado.com）绑定。用户不会被诱骗在外观相似的钓鱼网站（例如 corbado.scam.com）上使用他们的 Passkey，因为浏览器和操作系统会识别出来源不匹配并拒绝执行身份验证。这提供了一个基于共享密钥（如密码或 OTP）的方法无法提供的根本性安全保障。

• 解决 MFA 疲劳问题： 一个简单、单一的用户操作，如面容 ID 扫描或指纹触摸，同时证明了对设备上加密密钥的拥有（“你所拥有的东西”）和通过生物识别的内在特征（“你是什么”）。对用户来说，这感觉像是一个轻松的单一步骤，但在加密学上满足了多因素身份验证的要求。这使得组织能够满足严格的合规标准，而无需增加与传统 MFA 相关的额外步骤和认知负荷。

从传统 MFA 过渡到 Passkey 优先的策略，需要一个深思熟虑、多阶段的方法，以解决技术、用户体验和业务目标问题。

在强制推行 Passkeys 之前，你必须了解你的用户群采用它们的技术能力。这是衡量推行可行性和时间表的关键第一步。

• 分析你的设备环境： 使用现有的网络分析工具收集用户偏好的操作系统（iOS、Android、Windows 版本）和浏览器数据。

• 部署 Passkey 就绪工具： 为了获得更精确的数据，可以将一个轻量级、保护隐私的工具，如 Corbado Passkeys Analyzer，集成到你的网站或应用中。它能提供关于你的用户设备支持平台身份验证器（如面容 ID、触控 ID 和 Windows Hello）的百分比的实时分析，以及关键的用户体验增强功能，如条件 UI，它能实现 passkey 自动填充。这些数据对于建立一个现实的采用模型至关重要。

向 Passkeys 的过渡将是渐进的，而非一蹴而就。一个成功的策略需要一个混合系统，将 Passkeys 作为首选的主要方法，同时为使用不兼容设备的用户或尚未注册的用户提供安全的回退方案。

• 选择一种集成模式：

  • 标识符优先： 用户输入他们的电子邮件或用户名。系统随后检查该标识符是否已注册 Passkey，如果是，则启动 Passkey 登录流程。如果不是，则无缝回退到密码或其他安全方法。这种方法提供了最佳的用户体验，并且通常能带来更高的采用率。

  • 专用 Passkey 按钮： 在传统登录表单旁边放置一个“使用 Passkey 登录”按钮。这种方式实现起来更简单，但需要用户主动选择新方法，可能导致使用率较低。

• 确保回退方案的安全性： 你的回退机制绝不能损害你的安全目标。避免回退到像短信 OTP 这样的不安全方法。一个更强的替代方案是使用发送到用户已验证电子邮件地址的、有时间限制的一次性代码或魔法链接，这在特定会话中充当了拥有因素。

有效的沟通对于顺利推广至关重要。目标是将 Passkeys 塑造为用户体验的重大升级，而不仅仅是另一个安全麻烦。

• 以益处为导向的信息传递： 使用清晰、简单的语言，专注于用户利益：“更快、更安全地登录”、“告别忘记密码”和“你的指纹现在就是你的钥匙”。持续使用官方 FIDO Passkey 图标以建立认知度。

• 分阶段推广策略：

  1. 从“拉动式”采用开始： 最初，在用户的账户设置页面内将创建 Passkey 作为一个选项。这允许早期采用者和技术娴熟的用户选择加入，而不会干扰其他人的流程。

  2. 转向“推动式”采用： 一旦系统稳定，开始在用户成功用旧密码登录后，主动提示他们创建 Passkey。这能在用户已经处于“身份验证心态”时捕获他们。

  3. 整合到 Onboarding 流程中： 最后，将创建 Passkey 作为所有新用户注册的首要推荐选项。

数据驱动的方法对于验证对 Passkeys 的投资并持续优化体验至关重要。所有团队都应跟踪与其角色相关的指标。

• 采用与参与度指标：

  • Passkey 创建率： 符合条件的用户中创建 Passkey 的百分比。

  • Passkey 使用率： 使用 Passkey 完成的登录占总登录次数的百分比。

  • 首次关键操作时间： 新用户采用 Passkeys 后，执行关键操作的速度。

• 业务与运营指标：

  • 密码重置工单减少量： 直接衡量支持团队成本的降低。

  • 短信 OTP 成本减少量： 淘汰传统因素带来的有形成本节约。

  • 登录成功率： 比较 Passkey 登录与密码/MFA 登录的成功率。

  • 账户盗用事件减少量： 安全有效性的最终衡量标准。

以下表格提供了一个简明的摘要，比较了不同的身份验证方法，并将 Passkey 解决方案直接映射到常见的业务痛点。

Passkeys 如何解决强制 MFA 的痛点

强制执行多因素身份验证的时代已经到来。虽然这些强制措施源于抵御基于凭证攻击的迫切需求，但它们无意中也创造了一系列新的挑战。

我们看到，强制执行 MFA 带来了显著的运营负担，从短信费用的直接成本，到因用户在注册和设备更换中挣扎而导致的支持团队工单激增。我们了解到，当有选择时，用户会倾向于熟悉但易受网络钓鱼攻击的方法，如短信，这在纸面上实现了合规，却让组织在现实世界的攻击面前暴露无遗。最关键的是，我们已经确定，在强制执行的世界里，账户恢复成为最大的失败点，是用户极度沮丧的根源，也是处理不当时一个巨大的安全漏洞。

传统的 MFA 方法无法解决这些问题。但 Passkeys 可以。我们已经证明，Passkeys 是最终的答案，它直接解决了恢复、用户摩擦和安全性这三个相互关联的问题。它们的同步特性消除了大多数锁定情景，其生物识别的易用性消除了选择较弱选项的动机，而其加密设计使其能够免疫网络钓鱼。最后，我们制定了一个清晰的四步蓝图，从审计准备情况到衡量成功，为任何组织进行这一战略转型提供了实用的路径。

仅仅将这一转变视为合规性难题，就错失了它所呈现的战略机遇。欧洲银行业中强客户认证的先驱者，尽管最初困难重重，最终还是塑造了整个行业的用户期望。今天，Passkeys 的先驱者拥有同样的机会。通过拥抱这一转型，组织可以将一项安全强制要求从繁重的义务转变为强大而持久的竞争优势。现在，就是规划你从强制要求转向发展势头的最佳时机。