当前，多因素认证陷入了一个两难困境，为了提升高安全级别系统的防护能力，很多组织启用了多因素认证（MFA）。

这本是好意——防止弱口令、撞库、钓鱼攻击。但问题也随之而来：

“一开全开，所有系统都被MFA了。”

学校或企业使用了统一认证平台后，往往只能全局开启MFA。

于是，一个普通教务系统的查询操作，需要手机验证码；一个内部论坛的浏览，需要人脸识别。用户开始抱怨：“我只是查个课表，为什么要输两次密码+短信？”更尴尬的是，有些低风险业务系统根本不需要这么高强度的认证，却被动承受了体验降级。结果就是：安全是提高了，但便利性大打折扣。

IT部门夹在安全合规和用户吐槽之间，进退两难。自适应MFA：不再“全开全关”，而是“看人下菜碟”。

针对这个困境，自适应多因素认证（Adaptive MFA） 提供了一种更智能的解法：

不搞一刀切，而是根据每次访问的上下文风险，动态决定是否触发MFA。

具体来说，它可以区分三类场景：

一般系统（低风险）：只做统一认证（如账密），所有情况都不触发MFA，用户无感知。

高安全等级系统（高风险）：所有访问都强制MFA，无论何时何地。

中安全等级系统（中风险）：灵活判断——如果用户使用的是可信任设备、常用位置、正常工作时段，则免MFA；如果出现新设备、异地登录、不可信IP等风险信号，则自动触发MFA。

这样一来，用户大部分时间享受便捷，只有在真正需要时才进行二次验证。

产品支撑：SourceID的自适应MFA能力  

SourceID 的全栈认证模块中，内置了完整的自适应MFA引擎，支持以下核心能力：

基于多维度风险因素的可信度计算

系统实时评估每次访问的以下信号：

新设备：该设备是否30天内未曾登录过（通过User Agent和浏览器Cookie识别）

物理位置：当前登录位置是否与上次登录距离过远，理论上不可达（通过GPS、WiIP地址等综合判断）

不可信IP：是否来自已知的恶意IP池或代理IP

每一项都会被系统评估诊断。

灵活的策略触发机制

管理员可以根据风险等级设置不同动作：

低分（可信）→ 直接放行，不触发MFA

中分（可疑）→ 触发二次认证（如短信、动态口令、扫码）

高分（危险）→ 强制二次认证，或阻断登录并给出原因

支持脚本级精细控制

对于中安全等级系统，SourceID 允许管理员通过脚本自定义触发条件，比如：

仅当“非工作时间（18:00-次日8:00）”+“新设备”同时满足时，才触发MFA。

这种颗粒度，让安全策略真正贴合业务场景，而不是僵硬地“全开或全关”。

可信任清单

用户可以主动将常用设备、常用地点、特定时间段标记为“信任”，在此范围内访问任意中低风险系统均不触发MFA。

信任关系可设置有效期，过期后重新评估。

顺势认识一下 SourceID 的自适应MFA

SourceID 的自适应多因素认证能力，不是简单地把所有认证方式堆在一起，而是让认证策略随场景而变。

它既满足了高安全等级系统的防护要求，又避免了低风险业务系统被过度打扰。

最终带来的价值很直接：

用户体验大幅提升：正常环境下，一次登录畅行无阻

安全投入用在刀刃上：只在真正有风险时才增加验证环节

IT管理更从容：不再接到“为什么总是让我输验证码”的投诉

在数字化转型中，安全和体验从来不是非此即彼的选择。

SourceID Adaptive MFA —— 让每一次认证，都恰到好处