關于雙因素認證（2FA），這些基礎知識你一定要知道

如今，線上時間占據了生活的一大部分。遠端工作、社交媒體人氣的激增以及元宇宙的出現意味着如今的數字身份與現實身份一樣重要，而維護數字身份安全也變得更加重要。

雙因素認證（2FA）作為額外安全層為賬号登入添加了第二層身份驗證，確定賬号持有人是可以通路數字身份的唯一使用者。如果不使用雙因素認證，企業将承擔巨大的安全風險。

本文将帶你了解雙因素認證的含義、工作原理、使用場景及優缺點。

雙因素認證的含義及工作原理

雙因素認證是一種賬号驗證過程，顧名思義，除使用者名和密碼之外還需要第二因素核驗使用者的登入憑證。第二因素很難被網絡不法分子複制，例如個人安全問題或發送到個人安全裝置上的動态密碼。

雙因素認證的步驟根據所選驗證因素略有不同，比如設定成個人安全問題可能要回答母親的婚前姓氏，或兒時居住的街道名稱等，設定成動态密碼就需要在登入界面輸入發送到使用者移動裝置上的臨時登入密碼。但無論設定哪種第二因素，都要求使用者在輸入使用者名和密碼後提供額外的安全提示。

對于最進階别的通路管理，大多數雙因素認證工具會要求使用者每次登入都出示安全提示。

雙因素認證示例

安全問題或驗證碼推送可能是常見的第二因素，但還有許多其他身份驗證因素可供選擇。在雙因素認證中，第二因素通常為使用者的持有物或生理特征。

1. 安全問題

和使用者建立的密碼一樣屬于個人知識，例如第一隻寵物的名字或中學名稱等，但安全問題反而能提升身份安全。

2. 持有物

指安全的個人手機等私人裝置，使用者登入時需要輸入發送給這些裝置的動态密碼。

3. 生理特征

采用了生物識别技術，比如機場的視網膜掃描器，或者手機上的指紋解鎖。

上述方案都有各自的優缺點，但究竟哪種方案更合适還是取決于企業自身的需求。

雙因素認證在身份和通路管理中的作用

身份和通路管理（IAM）是企業用來控制對IT資源和裝置的通路權限及通路許可級别的總體政策。多因素認證（MFA）也屬于IAM，但雙因素認證本身并不是完整的IAM安全解決方案。比起IAM政策，雙因素認證更像為補充完整解決方案的最終安全層。

雙因素認證的使用場景

簡單來說，雙因素認證用于保護業務系統賬号，否則業務系統很容易遭遇賬号接管攻擊，最終導緻大規模的資料洩露。

雙因素認證的優缺點

使用多因素認證的好處顯而易見：惡意黑客僅憑密碼無法通路企業身份的情況下，企業賬号就變得難以滲透。此外，使用雙因素認證後，即使資料洩露導緻公司密碼被竊取，企業賬号依然處于安全防護中。

另一方面，安全性的提升可能會給員工操作帶來不便，根據企業選擇的第二因素，可能會産生不同問題。

1. 安全問題

員工需要另外記住問題的答案，員工忘記答案時，密碼鎖定情況可能會增加。

2. 動态密碼

不随身攜帶手機的員工可能無法通路企業賬号。

3. 生物特征

生物識别是最難僞造的身份驗證因素，但為了順利工作，企業必須為所有員工配備相容生物識别的裝置或掃描器，這些儀器的費用也大幅增加了成本。

雖然雙因素認證可能會增加登入所用時長，但對于提升安全性而言仍十分必要，是以雙因素認證仍是打造企業業務安全政策的重要措施。

甯盾雙因素認證為企業的業務系統、網絡接入、和資料中心基礎設施保駕護航，在提升賬号安全的同時依然保留良好的使用者體驗： 

1. 簡化管理，優化體驗

甯盾雙因素認證系統借助“掃一掃”、生物識别、手機APP推送等多種令牌形式擷取動态密碼，大大減少了密碼管理的人力成本，優化了員工體驗，助力企業加速數字化轉型。

2. 提升登入認證安全

靜态密碼+動态密碼雙重身份認證，解決弱密碼隐患，嚴格保障企業賬号安全。

3. 集中審計，實名追溯

甯盾雙因素認證系統能夠詳盡記錄使用者登入名、登入登出時間、使用者IP等資訊，發生安全事件時可定位到個人，做到使用者認證可審計。

4. 成本優勢顯著

避免定期修改高強度密碼帶來的工作以及密碼遺忘引起無法正常辦公及IT運維的支援成本和經常性支出。

疫情時代，遠端辦公将成為新常态，企業為了維護日益增加的資産，加強賬号安全成為主流趨勢。采用雙因素認證可加強身份鑒别，提升内網安全，助力企業加快數字化轉型。