面对变化多端的信息安全威胁，企业如果不及时采取防范措施很有可能会遭遇风险，这也突显了严格的 IT 安全策略和安全工具的必要性。

然而，所有这些都不能帮助解决 IT 系统中最薄弱的环节：用户对安全的疏忽。普通用户拥有的个人账号和企业账号加起来可能有几十个，重复使用登录密码也是很自然的事。但由此导致的后果是重复使用的管理员账号密码可能被某个常用的风险社交应用泄露出去。

在用户认证过程中，仅仅依靠静态密码很容易留下安全漏洞，无论密码再怎么长再怎么复杂也很难有效阻止针对身份的攻击。事实上，大多数密码泄露都由网络钓鱼导致，还有一种可能就是攻击者破解了使用相同密码的其他网站。那么一般企业，特别是用户数量庞大的企业应该如何确保高级别的账号安全呢？

答案很简单。企业通过实施多因素认证（MFA）就能修补账号管理中最薄弱的环节。添加多因子身份认证对账号安全具有变革性意义，启用多因子身份认证后，单一的静态登录密码在随机动态口令的加持下相当于数量无限的唯一密码，安全性大幅提升。下面将具体说明多因子身份认证的运行过程。

1. 什么是 MFA？

多因素认证也称为多因子身份认证 ，它为登录过程增加了一层额外认证。用户需要提供除了用户名密码以外的其他身份证明才能获得访问权限。

多因子身份认证涉及以下至少2种方法：

• 你知道的信息：密码
• 你拥有的设备：手机或硬件令牌
• 你的生物特征：面部识别或指纹扫描

启用多因子身份认证后，一旦用户使用密码登录，就会提示其输入其他验证因素，例如系统向用户注册的手机发送验证码，或者由手机 APP 生成的动态密码。如果设备支持生物识别，还可能要求用户进行指纹扫描和面部识别。

企业只需要添加多因子身份认证工具就能进一步阻止攻击者获得访问权限，因为现在不仅需要破解密码，还需要访问用户拥有的物理设备或获取用户的指纹/面部数据。

然而企业也需要意识到，多因子身份认证并不是一种万能的解决方案。选择设备级还是应用级的多因子身份认证在很大程度上取决于企业自身的 IT 环境。

2. 基于条件访问策略启用 MFA

企业 IT 管理员现在可以通过基于条件访问策略的多因子认证方案管理企业内的身份、网络和设备，并且允许管理员验证三个关键的访问点：用户的身份、用户所处位置的网络、用户正在使用的设备。通过建立对这些关键元素的信任，IT 管理员可以通过宁盾的条件访问策略建立灵活的验证规则：

• 身份可信：根据用户的身份、角色和组来验证用户。根据用户的组成员身份，强制执行或放宽多因子身份认证（MFA）要求。
• 网络可信：验证身份认证请求是否来自一个安全的位置。创建IP地址列表来规定用户能否访问及从什么网络访问资源。
• 设备可信：验证用户正在使用安全的设备访问资源。通过终端合规检测与策略控制，以限制用户对设备级资源的访问。

3. 如何在企业中使用条件访问策略？

条件访问允许管理员将各个策略组合到企业的全局访问验证方案中，或者可以在组级别上应用。以下是一些用例：

• 允许远程工作，当员工不在办公室时需要使用 MFA；
• 要求特定组（即承包商）访问企业业务系统时使用 MFA；
• 防止从个人设备上进行访问；
• 允许特定用户组使用个人设备，但要求每个用户进行 MFA；
• 当企业的仓库工人从内部网络访问业务系统时，为他们禁用关于 MFA 的提示；
• 要求所有管理员使用 MFA，因为特权账号造成的损害更大；
• 允许 CEO 或其他高管在使用受信任的设备时，不用 MFA。

在云和移动化的复杂网络环境下，以人的身份作为唯一主体建立的信任机制不足以应对所有的安全威胁。而终端作为与人实现信息交互的设备，是访问 IT 资源的主要渠道，是企业内部网络和外部网络的连接点，一旦发生违规事件，终端设备本地存储的数据也将面临风险。因此我们也必须将终端这一身份信任主体也纳入企业的信任安全体系中。

基于设备的多因子身份认证本质上就是“人”+“端”的联合信任，通过动态访问控制技术，以应用、网络、设备、终端等全场景的身份为核心保护对象，遵循细粒度授权机制，从零构筑信任并搭建新的安全防卫边界。

​

不过，随着业务上云的加速，云 MFA 的需求也正急速攀升。企业 IT 管理员可以通过云解决方案来简化多因子身份认证的部署和运维。云 MFA 能力无需安装部署和运维，开箱即用，可用于 Windows、MacOS 甚至 Linux 等不同操作系统的设备，还可用于 VPN、云桌面、堡垒机等不同场景中。

（本文来源于宁盾，仅供学习和参考，未经授权禁止转载和复制。如欲了解多因子身份认证更多内容，可前往宁盾官网博客解锁更多干货）