企業如何解決員工采用中遇到的雙因素認證問題？

雖然雙因素認證 (MFA) 對大多數使用者來說并不是什麼新技術，但使用者對這一工具的看法兩極分化。對于已經擁有多個啟用雙因素認證賬号的使用者來說，多一個也不算多。這類使用者往往是新技術的早期采用者，而且适應得也更快。其他使用者可能不太熟悉或者不願意用新技術，即便在工作中采用了這項技術大機率也會遇到問題。

和大多數新技術一樣，雙因素認證在企業中也有擁護者和抵制者，是以讓使用者做好充足準備對于雙因素認證的部署成功至關重要。本文中從員工在采用雙因素認證時面臨的使用者層面問題入手，探讨 IT 管理者應如何解決這些問題，為此需要采取哪些措施。

1. MFA 的使用者端問題和采用阻礙

了解員工采用雙因素認證時遇到的常見問題是正确制定部署政策的關鍵。一般來說，部署難點包括以下幾個方面：

• 裝置不相容：雙因素認證通常需要在員工個人裝置上部署。是以部署前需要先明确哪些作業系統和版本可以實施，并為不支援的作業系統和版本準備替代方案。
• 配置問題：每個人的學習方式都不同，是以配置教程也應該有不同形式，比如模拟部署或說明文檔。此外，由于使用者使用的裝置不同，配置教程需要針對不同類型裝置說明相應的步驟，當然也包括不同的作業系統。
• 使用方法不明：雙因素認證部署最常見的問題可能是可用性。雙因素認證廠商很少會向終端使用者提供相關教育訓練，很多使用者隻能自己鑽研。另外由于遠端辦公，員工無法向同僚求助，IT 人員也很難提供幫助。

正是由于上述3個常見問題，企業在篩選廠商時，應該把是否提供使用者教育訓練作為一大考慮因素。使用教育訓練可以有效減少部署時間，改善使用者體驗，還能解決因工具濫用或不用而造成的安全漏洞。

• 缺乏支援：如果使用者不了解使用某個工具的目的和理由，很快會放棄使用或避免使用，最終導緻嚴重的安全風險。為此企業需要明确告知員工采用雙因素認證的原因以及這一工具是如何保護企業資料安全和員工資訊安全。

注：雖然 IT 管理者對于傳統密碼的風險再清楚不過了，但普通使用者還是一頭霧水。大多數使用者（也包括 IT 管理者）還是會把密碼作為日常生活中唯一的安全手段。是以，企業可以嘗試先解釋傳統密碼的問題再說明雙因素認證的的安全優勢。

• 使用者體驗差：雙因素認證的部署已經面臨不少問題，如果使用者體驗又差就是雪上加霜。

2. 如何解決雙因素認證的部署問題

為確定雙因素認證的順利實施，以及使用者的充分支援，IT 管理者應確定在三個不同階段支援使用者： 推出前：考慮到使用者采用雙因素認證有早晚，管理者需要給使用者足夠的時間做準備，包括在不同管道多次提醒使用者，確定每個人都能看到消息。消息的具體内容可以包括：

• 預期變化。讓使用者知道采用雙因素認證後，哪些環節會發生哪些變化，是否需要使用個人裝置，以及使用者體驗的大緻情況，讓使用者有心理準備。
• 部署理由。如果使用者能了解雙因素認證的重要性，就更有可能支援部署。
• 準備工作。如果使用者需要先完成應用下載下傳、裝置注冊等準備工作，管理者應盡早告知詳情，這也有助于加快部署。
• 所需資源。這可能包括支援文檔、課程、模拟、示範等。考慮将這些設為可選；有些使用者可能不需要額外的幫助，有些使用者可能會非常感激。本着優先考慮使用者體驗的精神，讓使用者以最适合他們的方式學習，避免強迫他們消耗過多的學習材料。

實施：雙因素認證的實施應從使用者教育訓練開始。如果廠商提供教育訓練、示範或其他材料，可以直接分發給員工。如果廠商沒有這項服務，企業應考慮舉辦内部教育訓練，確定使用者正确采用和配置雙因素認證工具。

企業應給使用者至少幾周的時間來熟悉新工具。在此期間，應確定員工可通路教育訓練材料，IT部門也要準備解決員工的問題和幫助請求，因為教育訓練材料再完善也會有員工需要額外幫助或故障排除支援。

運維：部署完成後，IT 管理者仍需要密切關注雙因素認證工具的采用情況，關注賬号鎖定、禁用雙因素認證的使用者或裝置、可疑的曆史登入等問題。理想情況下，IT 管理者能夠通過統一的控制平台管理審計雙因素認證工具。

3. 基于雲的雙因素認證如何解決部署問題

為應對業務上雲趨勢，企業對雲雙因素認證（MFA）的需求增加，基于雲的雙因素認證支援 VPN、虛拟化桌面、堡壘機等場景的身份認證，并支援企業根據場景需求靈活選擇動态令牌認證形式，如手機 APP 令牌、推送認證等。雲雙因素認證以SaaS 訂閱模式提供服務，讓企業能夠按需購買，即開即用，免安裝運維，確定登入過程的流暢和便捷，主要通過以下方式提供出色的使用者體驗：

1）人性化設計

可在安卓、iOS 等不同系統運作，設定簡單，使用者隻需下載下傳手機 APP 綁定激活後就可擷取動态密碼。 此外，使用者也可以選擇推送認證的方式，隻需點選個人手機或裝置上出現的推送通知上的确認按鈕即可完成登入認證。推送通知可用于單點登入（SSO）門戶，通路辦公所需資源，這也是使用者最常使用雙因素認證的場景。除了這些，使用者在進行身份驗證時（登入 Windows、Mac、Linux 裝置或 RADIUS 伺服器、修改密碼等場景）都會用到動态密碼（OTP）。

2）易于管理和故障排除

管理者可集中管理雙因素認證工具，利用條件通路政策進行細粒度控制，基于某些特定條件的使用者或裝置才能啟用雙因素認證，例如僅為遠端辦公人員啟用雙因素認證。這樣一來，管理者啟用或禁用雙因素認證就像控制開關一樣簡單。