增強數字安全的愿望引起了世界各國政府的關注，所有政府都希望保護消費者和企業。因此，許多人提出了立法，將兩因素身份驗證 (2FA) 作為 IT 系統的強制性要求。其實，在我國等級保護制度中等級保護第三級以上都要求完成雙因素認證的，我們接下來看看國外有關雙因素要求與實現。

強制執行 2FA 要求

2021 年 5 月 12 日，美國總統喬·拜登發布了一項行政命令，使 2FA 成為所有政府機構的法律要求 。聯邦調查局、國土安全部和國家安全局等聯邦機構有 180 天的時間對所有數據實施 2FA 保護。

在英國，面對外國機構日益增加的威脅，國家網絡安全中心 (NCSC) 向英國企業發布了強有力的指導。建議中包括為其系統包含 2FA 登錄保護。

類似的 2FA 要求在行業框架中也變得越來越普遍。支付卡行業數據安全標準 (PCI DSS) 的最新版本 現在需要 2FA 或多因素身份驗證 (MFA) 來執行與帳戶相關的任務，例如某些類型的支付。通過添加登錄要求，提供商能夠更好地保護其客戶免受欺詐。

其他處理敏感個人信息的行業也在效仿。在美國，正在采取措施改進《健康保險流通與責任法案》(HIPAA)，以納入 2FA 要求。通過使用二級身份驗證加強對敏感患者數據的訪問，提供者可以保護患者的機密性。

為什么 2FA 要求很重要？

2FA 的主要好處是能夠加強外圍防御并降低惡意行為者訪問公司或政府系統的風險。通過添加額外的身份驗證層，用戶能夠更好地保護自己，企業可以幫助保護客戶免受欺詐、身份盜用、勒索和其他損失。

在政府或行業層面強制實施 2FA 為數字落后者提供了一個令人鼓舞的推動力，以更新他們的訪問控制系統，以造福于他們的用戶和客戶。 

繞過 2FA 容易嗎？

很難繞過 2FA。如果無法直接訪問用戶的二級身份驗證方法，例如智能手機、應用程序或硬件令牌，則幾乎不可能完成 2FA 流程的第二階段。這使得受 2FA 保護的系統更難被攻破，因此更加安全。

當您準備將 2FA 納入您的數字安全協議時，您還應考慮其他幾個問題，包括：

1) 如何滿足2FA 要求？

與任何安全控制一樣，必須仔細規劃 2FA 部署，以確保正確保護您的資產。您將面臨的最大挑戰之一是在舊系統上啟用 2FA 并將該技術與您現有的環境集成。如果不解決這些問題，您的新防御措施就不可能像您希望的那樣全面。

2) 哪些賬戶需要2FA？

僅將 2FA 應用于管理員級別帳戶或具有允許他們進行系統和安全配置更改的權限的帳戶可能很誘人。但是，這種方法不足以解決 數據 訪問權限。例如，您的銷售經理可能無法添加防火墻規則，但他們可以訪問客戶數據庫中受 GDPR 保護的個人信息。

值得記住的是，網絡犯罪分子通常會 從破壞單個系統開始。然后，他們將使用該受感染的系統作為在公司網絡內部進行進一步攻擊的中轉點。訪問較低級別的帳戶可能會導致更大的問題。理想情況下，您希望防止黑客在您的防御系統中站穩腳跟。

3) 應該使用哪個 2FA'因素'？

并非所有 2FA“因素”都是平等的，有些本質上比其他因素更安全。例如，SMS 確認碼很受歡迎，因為它們實施起來既快速又容易，但 不如 使用硬件令牌或身份驗證器應用程序安全。 

4) 應該自定義 2FA 產品嗎？

網絡安全是一種平衡行為，可以保護系統免受未經授權的訪問，而不會顯著降低用戶的工作效率。鑒于流程是獨一無二的，現成的解決方案可能需要粒度來滿足所有需求。

一個好的起點是繪制整個網絡中的各種身份驗證接觸點及其影響的流程。這將幫助您了解自己的 2FA 要求以及如何最好地部署該技術。

2FA 變得勢在必行

現實情況是，各種規模的企業都必須改進數據安全規定，以更好地保護其運營和客戶。越來越多的立法和行業最佳實踐框架正在推動組織朝著正確的方向前進。最重要的是，客戶比以往任何時候都更加意識到在線風險，他們要求保護他們的數據免遭丟失或被盜。

這就是為什么考慮當前的 2FA 要求 和規劃未來實施具有良好的戰略意義。最終，2FA 將成為開展業務必不可少且不可避免的一部分。