对于零售商来说，数据泄露是一个令人难以置信的问题，而且数据泄露是一个非常昂贵的问题。ThreatMetrix的一份报告发现，2018年第一季度，电子商务欺诈企图的增长超过了整体电子商务交易的增长83%。根据IBM的最新数据，目前数据泄露的平均成本是每一个被泄露的记录150美元，而数据泄露的成本只会随着新的隐私立法的通过而增加。对于关心保护利润和客户数据不受攻击的商业领袖来说，美国国家标准与技术研究所（NIST）最近发布的电子商务企业实施多因素认证（MFA）的指南可以提供一些帮助。"根据IBM的最新数据，数据泄露的平均成本目前为每一个受损记录150美元"在推特上留言如果部署得当，返利联盟，大数据包括，MFA是防止欺诈性购买和管理数据泄露的最有力的防御措施之一，然而电子商务却迟迟没有采用它。益百利的研究发现，目前只有44%的企业使用MFA，积分返现，他们将此归因于对MFA的担忧会对客户体验产生负面影响。然而，现代的MFA解决方案允许企业在安全性和便利性之间取得平衡。NIST的指导方针为电子商务提供了切实可行的建议，以赶上当前的安全标准，以及在采用MFA时应注意的事项。在这篇文章中，我们将讨论什么是MFA，NIST如何定义完善的MFA解决方案，以及电子商务企业如何在平衡其他业务需求的同时有效地实施MFA。简而言之，MFA简单地说，MFA是一种协议，用于确定使用您的系统的个人是否是他们声称的人。MFA要求一种以上（通常为两种）的凭证：某人知道的东西（比如密码或他们母亲的娘家姓）他们有的东西（比如他们可以接收一次性短信代码的手机）它们是什么（生物识别身份，如指纹或面部扫描）使用MFA的企业可以在用户会话的任何时候请求额外的验证：登录、购买或在站点或应用程序中导航时。开发人员通常认为MFA是最安全的身份验证形式，但是有各种各样的MFA解决方案可用，而且它们的创建并不完全相同。最后，虽然我们大多数人都是通过自己的网上购物经验来熟悉MFA的，但它并不只是针对最终用户的。NIST强调，要求电子商务管理员使用MFA对于防止管理员网络钓鱼攻击引起的数据泄露至关重要。电子商务为什么需要MFA不断演变的数字威胁环境使电子商务企业尤其脆弱。正如NIST的指南所解释的，2015年信用卡和店内终端引入了安全改进。这些改进减少了传统的信用卡欺诈行为，但却产生了意想不到的效果，促使更多的人在网上盗窃。电子商务企业容易受到多种类型的攻击，包括暴力攻击、网络钓鱼和凭证填充，NIST在其指南中特别关注这些攻击。在凭证填充中，从一个站点窃取的用户id和密码被用来登录到另一个站点，利用用户回收相同的几个密码的趋势。凭证填充可以说是2019年最危险和最普遍的安全威胁。Akamai的一份报告发现，零售业是此次攻击中最易受攻击的垂直行业，2018年有超过100亿次凭证滥用尝试。"开发人员通常认为MFA是最安全的身份验证形式"在推特上留言凭证填充是很难对付的，而且随着黑客开发出更复杂的机器人程序，这种机器人可以将来自多个漏洞的数据合并在一起，这种情况可能会恶化。成功的凭证填充会导致帐户接管。对客户来说，账户收购可能导致欺诈性购买被运送到陌生人手中。对于管理员来说，它们可能导致更严重的数据泄露。那么，您如何知道您当前的身份验证系统是否存在此类违规行为的风险？NIST列出了易受攻击系统的以下常见特征：允许多次错误登录而不锁定帐户购买者在多个系统上重复使用了相同的密码接受弱密码如果其中任何一个描述了贵公司的身份验证系统，那么实现MFA可以快速修补这些漏洞，淘客是啥，从而向您和您的客户展示您的身份，同时增强您的身份解决方案。什么是一个好的电子商务MFA解决方案MFA是一种开源技术，但是实现方法之间存在很大的差异。NIST为MFA解决方案指定了一些"必须具备的"，以有效地保护您的业务。定制：并不是每个事务都需要额外的身份验证，所以一个好的MFA解决方案允许您根据自己的需要定制您的系统。NIST将触发验证的最常见参数列为成本阈值（高于一定金额的采购）和风险阈值。您可以通过多种方式自定义风险定义，例如客户使用新的发货地址、使用新卡付款、购买通常与欺诈相关的商品或在一天中不寻常的时间进行购买。管理任务需要MFA：具有欺诈性管理凭证的罪犯可能会对您的业务造成不可估量的损害，因此NIST建议任何管理活动都需要验证。可疑活动的仪表盘：NIST的报告特别提到，电子商务企业应该"通过提供显示帐户锁定和身份验证活动的仪表板来启用系统活动的态势感知。"Auth0的仪表板就是这样做的：让你对你的用户有一个高层次的了解，允许您的管理员发现模式，并在新的威胁发展时意识到它们。Auth0还提供了破解密码保护，跟踪第三方网站的安全漏洞，并标记可能被盗的凭据。综合起来，这些功能是电子商务团队发现和防止欺诈交易的一种积极主动的方式。IDaaS合作伙伴如何管理您的MFA需求许多电子商务高管在推动MFA方面进展缓慢，购物返利app，因为他们担心用令人恼火的凭证要求来疏远客户。然而，网上购物者对这些措施越来越放心，而不是恼火。在益百利的2018年全球欺诈与身份报告中，66%的受访客户表示，"当我在线互动时，他们喜欢所有的安全协议，因为这让我感觉受到保护。"然而，客户的容忍度并不是无限的，在同一项调查中，三分之一的客户表示，安全需求导致他们网购数量减少。电子商务企业必须找到一种既能有效防止欺诈又能提供积极用户体验的MFA解决方案。通过与身份管理平台（如Auth0）合作，您可以获得增强安全性的好处，而不会给开发人员带来负担，也不会让客户感到沮丧。易用性和可定制性的平衡：Auth0的MFA解决方案可以通过一个开关打开，因此您不必等待几周或几个月的开发人员来保护您的系统。但是，Auth0还允许您的团队自由地为MFA编写针对上面讨论的任何参数的自定义规则。减少了用户的摩擦：Auth0的MFA允许开发者选择适合他们需求的身份验证因素，无论是短信、令牌生成器应用程序还是允许用户通过推送进行身份验证的Guardian通知。这个允许用户使用他们想要的MFA方法，同时维护适当的安全实践。卫报不要求你的客户安装应用程序，甚至不需要智能手机，所以它是一个真正的通用解决方案，既满足安全性又满足用户体验需求。随你而发展：保持当前安全标准的最高水平可能是一项全职工作。但这不是你的全职工作，所以把MFA外包给一个备受尊敬和认可的IDaaS合作伙伴，比如Auth0，可以让你的客户和你自己安心。NIST指南可提供即时保护尽管NIST的指南是自愿的建议，但它们的存在表明迫切需要采用MFA来保护整个在线购物。正如《指南》所说："欺诈通过降低消费者信心……以及通过增加抵消电子商务欺诈的成本，影响电子商务生态系统。"商业领袖面临着保护客户免受基于身份的攻击的压力，同时又不因过度的安全措施而牺牲收入。找到这种平衡需要专家的帮助，所以请联系Auth0资源来讨论如何将NIST的建议付诸实践。关于Auth0Auth0为应用程序、设备和用户提供了一个验证、授权和安全访问的平台。安全性和应用程序团队依赖Auth0的简单性、可扩展性和专业知识，使身份对每个人都有效。Auth0每月维护超过45亿次登录交易，确保身份安全，从而使创新者能够进行创新，并使全球企业能够为其全球客户提供可靠、卓越的数字体验。更多信息，请访问https://auth0.com或在Twitter上关注@auth0。Auth0文档在几分钟内实现身份验证.灯箱{宽度：100%；高度：100%；位置：固定；顶部：0；左：0；背景：rgba（0，0，0，0.85）；z-指数：9999999；线条高度：