如今，在线时间占据了生活的一大部分。远程工作、社交媒体人气的激增以及元宇宙的出现意味着如今的数字身份与现实身份一样重要，而维护数字身份安全也变得更加重要。

双因素认证（2FA）作为额外安全层为账号登录添加了第二层身份验证，确保账号持有人是可以访问数字身份的唯一用户。如果不使用双因素认证，企业将承担巨大的安全风险。

本文将带你了解双因素认证的含义、工作原理、使用场景及优缺点。

一、双因素认证的含义及工作原理

双因素认证是一种账号验证过程，顾名思义，除用户名和密码之外还需要第二因素核验用户的登录凭证。第二因素很难被网络不法分子复制，例如个人安全问题或发送到个人安全设备上的动态密码。

双因素认证的步骤根据所选验证因素略有不同，比如设置成个人安全问题可能要回答母亲的婚前姓氏，或儿时居住的街道名称等，设置成动态密码就需要在登录界面输入发送到用户移动设备上的临时登录密码。但无论设置哪种第二因素，都要求用户在输入用户名和密码后提供额外的安全提示。

对于最高级别的访问管理，大多数双因素认证工具会要求用户每次登录都出示安全提示。

二、双因素认证示例

安全问题或验证码推送可能是常见的第二因素，但还有许多其他身份验证因素可供选择。在双因素认证中，第二因素通常为用户的持有物或生理特征。

1. 安全问题

和用户创建的密码一样属于个人知识，例如第一只宠物的名字或中学名称等，但安全问题反而能提升身份安全。

2. 持有物

指安全的个人手机等私人设备，用户登录时需要输入发送给这些设备的动态密码。

3. 生理特征

采用了生物识别技术，比如机场的视网膜扫描仪，或者手机上的指纹解锁。

上述方案都有各自的优缺点，但究竟哪种方案更合适还是取决于企业自身的需求。

三、双因素认证在身份和访问管理中的作用

身份和访问管理（IAM）是企业用来控制对IT资源和设备的访问权限及访问许可级别的总体策略。多因素认证（MFA）也属于IAM，但双因素认证本身并不是完整的IAM安全解决方案。比起IAM策略，双因素认证更像为补充完整解决方案的最终安全层。

四、双因素认证的使用场景

简单来说，双因素认证用于保护业务系统账号，否则业务系统很容易遭遇账号接管攻击，最终导致大规模的数据泄露。

五、双因素认证的优缺点

使用多因素认证的好处显而易见：恶意黑客仅凭密码无法访问企业身份的情况下，企业账号就变得难以渗透。此外，使用双因素认证后，即使数据泄露导致公司密码被窃取，企业账号依然处于安全防护中。

另一方面，安全性的提升可能会给员工操作带来不便，根据企业选择的第二因素，可能会产生不同问题。

1. 安全问题

员工需要另外记住问题的答案，员工忘记答案时，密码锁定情况可能会增加。

2. 动态密码

不随身携带手机的员工可能无法访问企业账号。

3. 生物特征

生物识别是最难伪造的身份验证因素，但为了顺利工作，企业必须为所有员工配备兼容生物识别的设备或扫描仪，这些仪器的费用也大幅增加了成本。

虽然双因素认证可能会增加登录所用时长，但对于提升安全性而言仍十分必要，因此双因素认证仍是打造企业业务安全策略的重要措施。

宁盾双因素认证为企业的业务系统、网络接入、和数据中心基础设施保驾护航，在提升账号安全的同时依然保留良好的用户体验： 

1. 简化管理，优化体验

宁盾双因素认证系统借助“扫一扫”、生物识别、手机APP推送等多种令牌形式获取动态密码，大大减少了密码管理的人力成本，优化了员工体验，助力企业加速数字化转型。

2. 提升登录认证安全

静态密码+动态密码双重身份认证，解决弱密码隐患，严格保障企业账号安全。

3. 集中审计，实名追溯

宁盾双因素认证系统能够详尽记录用户登录名、登入登出时间、用户IP等信息，发生安全事件时可定位到个人，做到用户认证可审计。

4. 成本优势显著

避免定期修改高强度密码带来的工作以及密码遗忘引起无法正常办公及IT运维的支持成本和经常性支出。

疫情时代，远程办公将成为新常态，企业为了维护日益增加的资产，加强账号安全成为主流趋势。采用双因素认证可加强身份鉴别，提升内网安全，助力企业加快数字化转型。

宁盾

上海宁盾信息科技有限公司，企业级身份管理厂商。凭借全场景统一身份认证”、“零信任终端准入”、“移动化安全管理”技术，帮助解决客户在“零信任”安全架构转型及快速落地的难题。目前已服务近2000家中大型企业客户，覆盖金融、互联网、能源、电力、制造的头部客户（中国银行、广西公安、国家电网、百度、滴滴、诺亚财富、长江存储、京东方、wework、虹桥机场等）。