在很長一段時間內，密碼都是一種最常見的安全措施，但是近年來的安全漏洞都說明，單純靠密碼本身並不是最有效。事實上，憑證泄露已經淪為針對企業的第一大攻擊媒介。於是很多企業IT 管理員為瞭確保企業賬號安全，紛紛在 Windows 系統登錄中添加雙因子身份認證（MFA）這一額外保護層。

1

什麼是雙因子認證？

雙因子身份認證，也稱為雙因素身份認證，它要求用戶提供除用戶名、密碼之外的附加因素，以增強身份認證過程的安全性。目前常見的驗證因素類型包括基於時間的動態令牌 (TOTP)、硬件令牌或生物識別（面部/指紋/虹膜）。

換句話說，雙因子身份認證要求終端用戶提供個人知道的信息（憑證/密碼）、個人擁有的信息（TOTP/令牌）或個人的生物特征，作為身份認證依據。這樣一來，在缺少其他因素的情況下，即便用戶密碼或憑證遭到泄露，黑客也很難利用泄露的信息進行攻擊。

02

為什麼要為Windows 系統部署雙因子認證（MFA）？

為什麼密碼會成為攻擊的主要目標呢？2019年，國外安全新聞媒體 welivesecurity 發現，“12345”和“password”是當年最常用密碼的其中兩個。此外，61%的用戶會在不同平臺中重復使用這類簡單密碼。基於這兩個發現，密碼成為首選的攻擊媒介也就不足為奇瞭。

而密碼也不是黑客唯一的目標。另一項研究表明用戶系統是網絡攻擊的第二大目標。

在當前的 IT 環境中，Mac 和 Linux系統雖然在企業中不斷普及，Windows 仍然是最常見的操作系統。結合上述兩大攻擊目標的背景，可以肯定的是 Windows 系統密碼非常容易遭到攻擊。

如果黑客破解瞭 Windows 系統，密碼就不能作為系統的唯一保護來源。所以管理員通過雙因子身份認證為 Windows 系統添加瞭更嚴謹的安全層，確保受損系統不會成為入侵企業資源的缺口，再結合全盤加密，受損系統就不會造成太大損失。

03

為什麼選擇雙因子認證（MFA）？

但在眾多安全措施中，為什麼選擇雙因子身份認證？網絡安全界認為雙因子認證是防止攻擊最有效的方法之一。賽門鐵克的一項研究報告稱，近年來80%的安全漏洞可以通過雙因子身份認證阻止。但隻有26.5%的企業實施瞭該方案，說明世界上大部分企業都面臨著不法分子利用泄露憑證攻擊的風險。

屆時，實施雙因子身份認證後，即便黑客竊取瞭用戶憑證，也很難進行到入侵網絡的最後一步。畢竟，獲得終端用戶的手機令牌、物理令牌、指紋等其他驗證因素比竊取密碼要困難得多。

關於雙因子身份認證的有效性，谷歌安全博客認為基於設備（你擁有的）的雙因子身份認證在保護一組特定憑據免受攻擊方面非常有效，而基於知識（你知道的）的雙因子身份認證在大多數情況下雖然實現效果有所差異，但依然證明是安全有效的。

因此，對於希望保護 Windows 系統的企業，雙因子身份認證（尤其是基於設備的雙因子認證）是理想的安全措施。而在確定實施之後，新的問題也隨之而來：如何將雙因子身份認證集成到 Windows 系統中？

04

如何將雙因子認證（MFA）集成到 Windows 系統？

雙因子身份認證與 Windows 系統有多種集成方案。隻是在 Windows 環境中，通過 Active Directory 對雙因子認證進行分層並不容易。在考慮為 Windows 部署雙因子身份認證時，管理員還需要確定除瞭用戶憑證之外還必須保護哪些 IT 資源。

首先是系統，除瞭 Windows 外， macOS 和 Linux 系統也正成為企業的標準選擇，也應該通過雙因子身份認證加強保護。在系統之外，管理員還應該關註應用程序的訪問和網絡連接，比如為 VPN 添加雙因子身份認證MFA。此外，管理員應該強制執行鎖屏和全盤加密等其他關鍵的安全策略，最好從雲服務器集中執行，從而支持遠程訪問。

不過，新一代基於雲的身份和訪問管理方案——身份目錄即服務（DaaS）提供瞭跨 Windows、Mac 和 Linux 多類型終端、VPN/雲桌面/堡壘機登錄以及應用程序和網絡的雙因子身份認證，並內置瞭安全策略管理。基於雲的雙因子認證（雲MFA）使企業 IT 管理員減少復雜配置，實現統一管理，極大提升瞭 IT 資源的安全性與運維效率。