增強(qiáng)數(shù)字安全的愿望引起了世界各國政府的關(guān)注，所有政府都希望保護(hù)消費(fèi)者和企業(yè)。因此，許多人提出了立法，將兩因素身份驗(yàn)證 (2FA) 作為 IT 系統(tǒng)的強(qiáng)制性要求。其實(shí)，在我國等級保護(hù)制度中等級保護(hù)第三級以上都要求完成雙因素認(rèn)證的，我們接下來看看國外有關(guān)雙因素要求與實(shí)現(xiàn)。

強(qiáng)制執(zhí)行 2FA 要求

2021 年 5 月 12 日，美國總統(tǒng)喬·拜登發(fā)布了一項(xiàng)行政命令，使 2FA 成為所有政府機(jī)構(gòu)的法律要求 。聯(lián)邦調(diào)查局、國土安全部和國家安全局等聯(lián)邦機(jī)構(gòu)有 180 天的時(shí)間對所有數(shù)據(jù)實(shí)施 2FA 保護(hù)。

在英國，面對外國機(jī)構(gòu)日益增加的威脅，國家網(wǎng)絡(luò)安全中心 (NCSC) 向英國企業(yè)發(fā)布了強(qiáng)有力的指導(dǎo)。建議中包括為其系統(tǒng)包含 2FA 登錄保護(hù)。

類似的 2FA 要求在行業(yè)框架中也變得越來越普遍。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) 的最新版本 現(xiàn)在需要 2FA 或多因素身份驗(yàn)證 (MFA) 來執(zhí)行與帳戶相關(guān)的任務(wù)，例如某些類型的支付。通過添加登錄要求，提供商能夠更好地保護(hù)其客戶免受欺詐。

其他處理敏感個(gè)人信息的行業(yè)也在效仿。在美國，正在采取措施改進(jìn)《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA)，以納入 2FA 要求。通過使用二級身份驗(yàn)證加強(qiáng)對敏感患者數(shù)據(jù)的訪問，提供者可以保護(hù)患者的機(jī)密性。

為什么 2FA 要求很重要？

2FA 的主要好處是能夠加強(qiáng)外圍防御并降低惡意行為者訪問公司或政府系統(tǒng)的風(fēng)險(xiǎn)。通過添加額外的身份驗(yàn)證層，用戶能夠更好地保護(hù)自己，企業(yè)可以幫助保護(hù)客戶免受欺詐、身份盜用、勒索和其他損失。

在政府或行業(yè)層面強(qiáng)制實(shí)施 2FA 為數(shù)字落后者提供了一個(gè)令人鼓舞的推動(dòng)力，以更新他們的訪問控制系統(tǒng)，以造福于他們的用戶和客戶。 

繞過 2FA 容易嗎？

很難繞過 2FA。如果無法直接訪問用戶的二級身份驗(yàn)證方法，例如智能手機(jī)、應(yīng)用程序或硬件令牌，則幾乎不可能完成 2FA 流程的第二階段。這使得受 2FA 保護(hù)的系統(tǒng)更難被攻破，因此更加安全。

當(dāng)您準(zhǔn)備將 2FA 納入您的數(shù)字安全協(xié)議時(shí)，您還應(yīng)考慮其他幾個(gè)問題，包括：

1) 如何滿足2FA 要求？

與任何安全控制一樣，必須仔細(xì)規(guī)劃 2FA 部署，以確保正確保護(hù)您的資產(chǎn)。您將面臨的最大挑戰(zhàn)之一是在舊系統(tǒng)上啟用 2FA 并將該技術(shù)與您現(xiàn)有的環(huán)境集成。如果不解決這些問題，您的新防御措施就不可能像您希望的那樣全面。

2) 哪些賬戶需要2FA？

僅將 2FA 應(yīng)用于管理員級別帳戶或具有允許他們進(jìn)行系統(tǒng)和安全配置更改的權(quán)限的帳戶可能很誘人。但是，這種方法不足以解決 數(shù)據(jù) 訪問權(quán)限。例如，您的銷售經(jīng)理可能無法添加防火墻規(guī)則，但他們可以訪問客戶數(shù)據(jù)庫中受 GDPR 保護(hù)的個(gè)人信息。

值得記住的是，網(wǎng)絡(luò)犯罪分子通常會(huì) 從破壞單個(gè)系統(tǒng)開始。然后，他們將使用該受感染的系統(tǒng)作為在公司網(wǎng)絡(luò)內(nèi)部進(jìn)行進(jìn)一步攻擊的中轉(zhuǎn)點(diǎn)。訪問較低級別的帳戶可能會(huì)導(dǎo)致更大的問題。理想情況下，您希望防止黑客在您的防御系統(tǒng)中站穩(wěn)腳跟。

3) 應(yīng)該使用哪個(gè) 2FA'因素'？

并非所有 2FA“因素”都是平等的，有些本質(zhì)上比其他因素更安全。例如，SMS 確認(rèn)碼很受歡迎，因?yàn)樗鼈儗?shí)施起來既快速又容易，但 不如 使用硬件令牌或身份驗(yàn)證器應(yīng)用程序安全。 

4) 應(yīng)該自定義 2FA 產(chǎn)品嗎？

網(wǎng)絡(luò)安全是一種平衡行為，可以保護(hù)系統(tǒng)免受未經(jīng)授權(quán)的訪問，而不會(huì)顯著降低用戶的工作效率。鑒于流程是獨(dú)一無二的，現(xiàn)成的解決方案可能需要粒度來滿足所有需求。

一個(gè)好的起點(diǎn)是繪制整個(gè)網(wǎng)絡(luò)中的各種身份驗(yàn)證接觸點(diǎn)及其影響的流程。這將幫助您了解自己的 2FA 要求以及如何最好地部署該技術(shù)。

2FA 變得勢在必行

現(xiàn)實(shí)情況是，各種規(guī)模的企業(yè)都必須改進(jìn)數(shù)據(jù)安全規(guī)定，以更好地保護(hù)其運(yùn)營和客戶。越來越多的立法和行業(yè)最佳實(shí)踐框架正在推動(dòng)組織朝著正確的方向前進(jìn)。最重要的是，客戶比以往任何時(shí)候都更加意識到在線風(fēng)險(xiǎn)，他們要求保護(hù)他們的數(shù)據(jù)免遭丟失或被盜。

這就是為什么考慮當(dāng)前的 2FA 要求 和規(guī)劃未來實(shí)施具有良好的戰(zhàn)略意義。最終，2FA 將成為開展業(yè)務(wù)必不可少且不可避免的一部分。