選單

為公司自有資源強制執行一致的 MFA 機制

企業問題

密碼遭到盜用是造成資料外洩的主因之一。取得密碼之後,駭客就等同於擁有該名員工的公司資料存取權限。

多重驗證 (MFA) 也稱為兩步驟驗證 (2SV),是保護公司資源的重要工具。這項工具會要求使用者運用他們知道的資訊 (例如密碼) 和他們擁有的物件 (像是實體金鑰或存取碼) 來驗證身分。

假設貴公司希望保護旗下員工的帳戶與資料,因此決定所有使用者在存取公司資源之前,都必須先透過兩步驟驗證機制確認身分。

解決方案

如果 Cloud Identity 是貴公司的識別資訊提供者 (IdP),您就能透過多種方式實行兩步驟驗證。若您使用的是第三方 IdP,請與對方確認他們可以提供何種兩步驟驗證解決方案。

您可以選用不同等級的兩步驟驗證強制執行方案:

  • 選擇性:員工可自行決定是否使用兩步驟驗證功能。
  • 強制性:員工可自行選擇要使用何種兩步驟驗證方法。
  • 強制使用安全金鑰:員工必須使用安全金鑰來驗證身分。

安全金鑰

安全金鑰是最強大的兩步驟驗證方法。

在兩步驟驗證方法中,安全金鑰可提供最完善的安全保障。一般來說,使用者必須先將這個實體金鑰插入電腦的 USB 連接埠,並在畫面上顯示相關提示後觸摸金鑰,這樣系統才會產生加密編譯簽名。

有些詐騙者會假冒 Google 的名義架設網路詐騙網站,並要求使用者提供兩步驟驗證碼。由於 Google 的加密安全金鑰會驗證使用者所造訪網站的正當性,因此安全金鑰的使用者遭受網路詐騙攻擊的可能性較低。

如要在 Android 行動裝置上透過安全金鑰驗證身分,使用者只要將安全金鑰貼近其近距離無線通訊 (NFC) 裝置即可。另外,使用者也可以選購 Android 裝置適用的 USB 型和藍牙低功耗型 (BLE) 安全金鑰。如果是 Apple 行動裝置,則使用者必須採用支援藍牙功能的安全金鑰。

Google 提示

Google 提示是兩步驟驗證的方法之一。

如果不想產生並輸入兩步驟驗證碼,使用者可以調整 Android 或 Apple 行動裝置設定來接收登入提示。這樣一來,他們透過電腦登入 Google 帳戶時,行動裝置上就會顯示「您正嘗試登入嗎?」的提示訊息。看到這則通知之後,使用者只要輕觸行動裝置即可確認身分。

Google Authenticator 應用程式

Google Authenticator 是兩步驟驗證的方法之一。

Google Authenticator 會在 Android 或 Apple 行動裝置上產生一次性的兩步驟驗證碼,使用者則可透過行動裝置取得驗證碼。電腦上出現系統提示時,使用者只要輸入該組驗證碼即可。這類驗證碼可用於登入桌上型電腦、筆記型電腦,甚至是產生驗證碼的行動裝置。

備用碼

備用碼是兩步驟驗證的方法之一。

如果使用者並未隨身攜帶行動裝置,或是在不得攜帶行動裝置的高安全性要求區域中工作,他們可以使用備用碼來進行兩步驟驗證。使用者可以事先產生並列印備用驗證碼,以便確認身分時使用。

簡訊或語音通話

簡訊或語音通話均為兩步驟驗證的方法。

Google 會透過簡訊或語音通話的方式,將兩步驟驗證碼傳送至使用者的行動裝置。

建議做法

在評估何種兩步驟驗證方法最適合貴公司時,您必須同時考量到安全性、成本和便利性。無論您最終選擇哪一個方法,我們都建議強制啟用兩步驟驗證機制,規定所有員工都必須執行這項程序。

使用安全金鑰

針對需要建立及存取最高安全性等級資料的員工,我們會建議您強制要求他們使用安全金鑰。另外,您也應該規定所有其他員工採用兩步驟驗證機制,並鼓勵他們使用安全金鑰。

安全金鑰符合 Google 為線上快速身分認證 (FIDO) 聯盟制定的開放標準,是安全性最高的兩步驟驗證方法。不過如要採用安全金鑰,使用者的裝置就必須裝有相容的瀏覽器。

其他選項

如果成本和使用普及度是您的考量重點,那麼 Google 提示或 Google Authenticator 應用程式會相當適合您。Google 提示可提供更簡便的使用者體驗,因為使用者只要在系統跳出提示後輕觸裝置即可,不需要輸入驗證碼。

如果貴公司員工不得隨身攜帶行動裝置,則可事先產生並列印備用碼,再將該組代碼攜至高安全性要求區域。

我們較不建議您使用簡訊來驗證身分。考量到政府資助的實體可能遭到駭客入侵,美國國家標準暨技術研究院 (NIST) 已不再推薦使用簡訊來進行兩步驟驗證。

應用範例

A 公司是一家頗具盛名的大型企業,他們使用的應用程式和驗證機制均部署於公司內部環境中。為提升安全性、減少支援成本並增加可擴充性,A 公司希望改用 Cloud Identity 來做為主要 IdP。

為管理公司在雲端服務中的實體身分,A 公司取得了 IDaaS 解決方案的部署授權書。不過,他們必須在特定日期以前開始實行兩步驟驗證機制,並滿足相關法律的規定。另一方面,Infosec 團隊則是要求 A 公司的所有使用者都必須採用兩步驟驗證。

A 公司決定使用 Cloud Identity 來實行兩步驟驗證機制,並希望強制規定下列使用者透過安全金鑰驗證身分:需要處理最敏感的公司內部重要業務計劃相關事宜的員工,以及可存取員工資訊的使用者。也就是說,所有部門的管理階層,還有工程、財務和人力資源部門的員工都必須遵守這項規定。另外,公司也要求所有其他員工使用兩步驟驗證機制。這類使用者雖然可以自行選擇最符合需求的兩步驟驗證方法,但公司還是鼓勵他們使用安全金鑰。

依據各部門的需求設定不同的安全金鑰強制執行功能。

由於只需要求特定員工使用安全金鑰,因此 IT 部門在較大的部門中建立了例外群組來彙整這類使用者。舉例來說,公司規定行銷部門的所有員工都採用兩步驟驗證機制,但只有管理階層必須使用安全金鑰。因此,IT 部門在行銷、銷售和支援等各部門中建立了管理階層群組,並強制規定這些群組中的管理階層人員使用安全金鑰。

本頁內容對您是否有任何幫助?請提供意見: