雙因子身份認證如何保障 Windows 系統登入安全？

密碼作為最常用的安全措施，在雲時代的 IT 環境中似乎難以應對。近年來的安全漏洞表明，單靠密碼本身并不足以抵禦網絡攻擊。事實上，憑證洩露已經成為企業最核心的安全威脅之一。為了保證企業賬戶安全和登入安全，IT 管理者往往選擇在 Windows 系統及其他作業系統登入過程中添加雙因子認證（MFA）工具。

1. 什麼是雙因子認證？

雙因子身份認證，也稱為雙因素身份認證，它要求使用者提供除使用者名、密碼之外的附加因素，以增強身份認證過程的安全性。目前常見的驗證因素類型包括基于時間的動态令牌 (TOTP)、硬體令牌或生物識别（面部/指紋/虹膜）。

換句話說，雙因子身份認證要求終端使用者提供個人知道的資訊（憑證/密碼）、個人擁有的資訊（TOTP/令牌）或個人的生物特征，作為身份認證依據。這樣一來，在缺少其他因素的情況下，即便使用者密碼或憑證遭到洩露，黑客也很難利用洩露的資訊進行攻擊。

2. 為什麼要為 Windows 系統部署雙因子認證（MFA）？

為什麼密碼會成為攻擊的主要目标呢？2019年，國外安全新聞媒體 welivesecurity 發現，“12345”和“password”是當年最常用密碼的其中兩個。此外，61%的使用者會在不同平台中重複使用這類簡單密碼。基于這兩個發現，密碼成為首選的攻擊媒介也就不足為奇了。

而密碼也不是黑客唯一的目标。另一項研究表明使用者系統是網絡攻擊的第二大目标。 在目前的 IT 環境中，Mac 和 Linux系統雖然在企業中不斷普及，Windows 仍然是最常見的作業系統。結合上述兩大攻擊目标的背景，可以肯定的是 Windows 系統密碼非常容易遭到攻擊。 如果黑客破解了 Windows 系統，密碼就不能作為系統的唯一保護來源。是以管理者通過雙因子身份認證為 Windows 系統添加了更嚴謹的安全層，確定受損系統不會成為入侵企業資源的缺口，再結合全盤加密，受損系統就不會造成太大損失。

3. 為什麼選擇雙因子認證（MFA）？

但在衆多安全措施中，為什麼選擇雙因子身份認證？網絡安全界認為雙因子認證是防止攻擊最有效的方法之一。賽門鐵克的一項研究報告稱，近年來80%的安全漏洞可以通過雙因子身份認證阻止。但隻有26.5%的企業實施了該方案，說明世界上大部分企業都面臨着不法分子利用洩露憑證攻擊的風險。 屆時，實施雙因子身份認證後，即便黑客竊取了使用者憑證，也很難進行到入侵網絡的最後一步。畢竟，獲得終端使用者的手機令牌、實體令牌、指紋等其他驗證因素比竊取密碼要困難得多。

關于雙因子身份認證的有效性，谷歌安全部落格認為基于裝置（你擁有的）的雙因子身份認證在保護一組特定憑據免受攻擊方面非常有效，而基于知識（你知道的）的雙因子身份認證在大多數情況下雖然實作效果有所差異，但依然證明是安全有效的。

是以，對于希望保護 Windows 系統的企業，雙因子身份認證（尤其是基于裝置的雙因子認證）是理想的安全措施。而在确定實施之後，新的問題也随之而來：如何将雙因子身份認證內建到 Windows 系統中？

4. 如何将雙因子認證（MFA）內建到 Windows 系統？

雙因子身份認證與 Windows 系統有多種內建方案。隻是在 Windows 環境中，通過 Active Directory 對雙因子認證進行分層并不容易。在考慮為 Windows 部署雙因子身份認證時，管理者還需要确定除了使用者憑證之外還必須保護哪些 IT 資源。 首先是系統，除了 Windows 外， macOS 和 Linux 系統也正成為企業的标準選擇，也應該通過雙因子身份認證加強保護。在系統之外，管理者還應該關注應用程式的通路和網絡連接配接，比如為 VPN 添加雙因子身份認證 MFA。此外，管理者應該強制執行鎖屏和全盤加密等其他關安全政策，最好從雲伺服器集中執行，進而支援遠端通路。

不過，新一代基于雲的身份和通路管理方案——身份目錄即服務（DaaS）提供了跨 Windows、Mac 和 Linux 多類型終端、VPN/雲桌面/堡壘機登入以及應用程式和網絡的雙因子認證，并内置了安全政策管理。基于雲的雙因子認證（雲MFA）可為企業 IT 管理者減少複雜配置，實作集中管理，大幅提升了 IT 資源的安全性與運維效率。