多重驗證 (MFA) 不再只是針對大型企業的安全建議。這是企業降低帳號遭劫持風險,並使被盜密碼失去作用最實用的方式之一。隨著企業系統的存取管道擴展到雲端應用程式、遠端團隊、共享裝置和第三方平台,MFA 正在成為更實用的工具。
但在實作過程中,IT 管理員面臨著評估 MFA 是否實用或有效的挑戰。要在整個組織中啟用 MFA,需要做出許多決策:哪些帳號最需要優先啟用?應該允許哪些 MFA 方法?如何避免員工的排斥?如何確保 MFA 是強制執行,而不僅僅是鼓勵?
本指南旨在幫助您的企業順利實作 MFA。它解釋了什麼是 MFA、為什麼僅靠密碼已不再足夠、常見的 MFA 方法在企業應用中的比較,以及如何以您的團隊能接受的方式推廣 MFA。它還展示了內建雙重驗證支援的企業密碼管理程式如何使更大規模、更強大的驗證實務更易於管理。
Proton Pass for Business 如何讓 MFA 易於管理
什麼是多重驗證?
MFA 是一種安全程序,需要一種以上的身分驗證方式才能存取帳號。MFA 不僅僅依賴傳統密碼,還要求提供額外的要素,從而增加未授權存取的難度。
三種常見的驗證要素包括:
- 您所知道的資訊,例如密碼或 PIN 碼。
- 您所擁有的物品,例如手機、驗證 app、硬體安全金鑰或信任的裝置。
- 您的特徵,例如指紋或臉部辨識。
在實務中,MFA 通常意味著員工輸入密碼,然後透過另一種方法驗證登入,例如時間型代碼 (或 TOTP)、推播核准、通行密鑰或硬體金鑰。其目標很簡單:如果密碼被盜、被猜出、遭網路釣魚或被重複使用,攻擊者仍需要另一個要素才能入侵。
企業環境中的多重驗證
對企業而言,實作 MFA 是一種透過額外存取控制來加強帳號安全的方法,而不僅僅是為了取代密碼。在企業環境中,挑戰在於決定哪些地方最需要這些方法,以及如何在不同的系統、角色和風險等級之間一致地部署這些方法。
儘管如此,並非所有的 MFA 都同樣強大。透過簡訊傳送的代碼比單純使用密碼好,但它無法提供與硬體安全金鑰或實作良好的通行密鑰相同的保護。正確的選擇取決於風險、易用性、裝置存取、合規性需求,以及您的企業可以維持多少管理控制權。
為什麼僅靠密碼已不再足夠
強大的密碼仍然很重要,但光靠它們已不再足夠。員工管理的帳號比以往任何時候都多,而攻擊者知道企業系統的存取權通常是從一個遭入侵的憑證開始。
密碼可能會透過網路釣魚、惡意軟體(新視窗)、資料外洩、憑證填充、密碼重複使用或不安全的共享而洩露。一旦攻擊者獲得了有效的使用者名稱和密碼,除非需要另一層驗證,否則他們的活動看起來就像是正常的登入嘗試。
這就是為什麼企業資料外洩防護需要包含憑證控制、端點安全和員工培訓。強大的密碼政策有所幫助,但它無法阻止每一個被盜的密碼被用來嘗試登入電子郵件、雲端儲存空間、財務工具、管理員入口網站或客戶系統。
財務風險極高。根據 IBM 的 2025 年資料外洩成本報告(新視窗),全球資料外洩的平均成本高達 440 萬美元。MFA 無法完全消除資料外洩的風險,但確實能減少進入企業系統最常見的路徑之一:利用遭入侵憑證進行的未授權存取。
對於控制其他帳號的帳號而言,MFA 尤為重要。電子郵件、身分識別提供商、密碼管理程式、管理員主控台、開發者平台、工資發放工具和財務系統都應被視為高優先級,因為獲取這些系統的存取權可能會解鎖其他地方的更多存取權限。
MFA 的類型與企業權衡
良好的 MFA 實作始於選擇合適的方法。對於每個企業、團隊或系統,最佳選擇不盡相同。例如,IT 管理員需要平衡安全強度、員工易用性、裝置可用性、管理性開銷和支援需求。
簡訊一次性密碼
簡訊一次性密碼 (OTP) 會在登入期間將代碼傳送到電話號碼。這是最容易被員工理解的 MFA 方法之一,在沒有更好選擇的情況下可能很有用。
缺點在於安全性。透過 簡訊 傳送容易受到 SIM 卡劫持、攔截、社交工程和電話號碼恢復攻擊的威脅。當員工變更號碼、出國旅遊、收訊不良或使用個人手機工作時,也會造成營運上的問題。
對於企業而言,簡訊 OTP 最好被視為備用選項,而不是首選的 MFA 方法。這仍然比單純使用密碼要好,但不應該是高風險帳號的預設選項。
驗證 app 與 TOTP 代碼
員工開啟一個驗證 app,例如 Proton Authenticator,複製為他們正在登入的服務所產生的代碼,然後在登入時輸入。
這通常比簡訊更安全,因為代碼是在裝置上產生的,不依賴行動網路。它也受到企業工具的廣泛支援,使其成為許多 MFA 推廣中的實用基準。
其權衡之處在於易用性和復原。員工需要正確設定應用程式、保持對其裝置的存取權限,並瞭解手機遺失或更換時的復原機制。IT 團隊還需要針對備份代碼、裝置變更和員工離職制定明確的政策。
TOTP 非常適合作為一般的企業 MFA 方法,特別是與強大的密碼管理和明確的管理員流程搭配使用時。
硬體安全金鑰
硬體安全金鑰(例如 YubiKey)提供了強大的驗證,因為員工必須實體持有該金鑰才能獲得企業帳號的存取權。許多安全金鑰還可以防止網路釣魚,因為它們會在完成驗證之前驗證網站本身是否合法。
對於高風險角色,硬體金鑰是最強大的 MFA 選項之一。它們對於管理員、主管、財務團隊、開發人員以及任何可以存取敏感系統的人員特別有用。
權衡之處在於推廣的複雜性。企業需要採購金鑰、分發金鑰、培訓員工、管理備份並處理遺失或損壞的裝置。硬體金鑰策略還需要一個不會削弱安全效益的復原流程。
通行密鑰
通行密鑰使用密碼學驗證來取代傳統密碼。在許多情況下,員工可使用指紋、臉部辨識、PIN 碼或裝置核准來解鎖通行密鑰。私有金鑰會保留在裝置上,這使得通行密鑰比許多舊式驗證方法更能抵抗網路釣魚。
對企業而言,通行密鑰可以同時提高安全性和易用性。它們減少了對共享秘密的依賴,並可以讓員工更快登入。主要挑戰在於生態系統的成熟度。並非所有的企業工具都已支援通行密鑰,IT 團隊需要針對裝置註冊、復原、共享工作站和員工離職制定政策。
對許多組織而言,實用的解決方案是採用混合模式:在支援的地方使用通行密鑰,在仍有需求的地方保留強大的密碼和 MFA,並透過明確的存取政策來管理這兩者。
| MFA 方法 | 安全強度 | 企業適用性 | 最佳使用情境 |
| 簡訊 OTP | 基本 | 易於採用,但防護力弱於其他 MFA 方法 | 無法使用更強大的 MFA 時的備用選項 |
| 驗證 app | 中等至強大 | 許多團隊的實用預設選項 | 日常商務帳號與 SaaS 工具 |
| 硬體安全金鑰 | 非常強大 | 最適合高風險角色,但需要進行裝置管理 | 管理員、高階主管、財務團隊和敏感系統 |
| 通行密鑰 | 非常強大 | 在支援之處安全且易於使用 | 現代化應用程式、無密碼工作流程,以及能防範網路釣魚的存取方式 |
MFA 實作失效之處
即使企業已實作 MFA,MFA 仍有可能失效。實作品質其實與 MFA 方法本身一樣重要。失效的部分原因可能包括:
- 弱修復機制。如果員工可以透過簡單的帳號修復、服務台捷徑或保護不周的備份代碼來繞過 MFA,攻擊者可能會鎖定重設流程,而非登入畫面。
- 強制執行不一致。MFA 可能僅針對部分工具啟用,但對電子郵件、管理員帳號、財務系統、共享操作帳號或某些員工則是選用。在這種情況下,MFA 淪為一種空想而非控制措施,攻擊者仍然可以尋找最脆弱的可行路徑。
- 易用性不佳。如果員工經常被中斷、被鎖定,或是不清楚要核准什麼,他們可能會感到挫折且更容易犯錯。推送疲勞就是一個例子:重複的核准提示可能會訓練人們不加思考就接受請求。
強大的 MFA 部署需要強制執行、監控與支援。應該要讓員工能輕鬆做出正確的操作,且難以讓重要帳號處於未受保護的狀態。
員工抗拒的問題
員工的抗拒是部署 MFA 的最大障礙之一。員工可能會將其視為額外的步驟、阻礙生產力的因素,或是在沒有說明背景的情況下新增的另一項安全規則。
這種反應是可以理解的,特別是在突然引入 MFA 或說明不夠明確時。抗拒往往源於糟糕的實作,而不是反對安全本身。
解決這個問題的方法是讓 MFA 變得可預測且易於遵循。向員工說明,即使密碼被盜,MFA 也能保護商務帳號;從電子郵件和共享商務平台等熟悉的工具開始;提供明確的設定步驟,並在變更裝置時為員工提供支援。
避免將 MFA 塑造成一種懲罰或不信任的象徵。它應該被視為一項對公司、客戶以及員工自身工作帳號都實用的安全保障。
自攜裝置 (BYOD) 政策也有所幫助。如果員工使用個人裝置工作,針對驗證 app、裝置安全性、裝置遺失通報以及存取權撤銷制定明確的規則,能讓 MFA 的部署更加順暢。
如何在企業中部署 MFA
成功的 MFA 部署是一項變革管理專案。IT 經理需要決定優先保護什麼、強制執行如何運作、如何處理例外情況,以及如何衡量採用率。
步驟 1:盤點您的帳號與風險等級
從存取清單開始。找出您企業所依賴的系統,以及一旦遭到入侵會產生最大風險的帳號。
優先考量:
- 電子郵件和身分識別提供者帳號。
- 管理員帳號與特權角色。
- 密碼管理程式帳號。
- 財務、薪資和帳務工具。
- 雲端儲存空間與檔案共享。
- 開發人員、基礎設施和生產系統。
- 客戶資料平台與 CRM。
這能為您的企業建立一個基於風險而非便利性的部署順序。
步驟 2:選擇核准的 MFA 方法
決定您的企業允許哪些 MFA 方法。對於許多團隊而言,驗證 app 或通行密鑰可能會成為預設選項,而硬體安全金鑰則保留給高風險角色。在必要時簡訊仍可作為備用選項,但不應成為敏感系統的首選方法。
清楚記錄此項決定。員工應知道哪些方法已獲核准、哪些不建議使用,以及遺失裝置時該怎麼辦。
步驟 3:在全面強制執行前進行試行
在 IT、營運、財務、領導團隊或其他可以提供實用意見回饋的群組中進行試行。目標是在部署推廣至整個組織之前,測試設定流程、支援文件、修復流程和政策設定。
試行也有助於找出何處的 MFA 提示過於頻繁、員工在何處需要更明確的說明,以及哪些系統需要特殊處理。
步驟 4:優先對高風險帳號強制執行 MFA
對於關鍵系統而言,光是鼓勵是不夠的。試行完成後,請針對會產生最高風險的帳號強制執行 MFA。
這包括管理員帳號、電子郵件、身分識別系統、密碼管理程式和財務工具。如果這些帳號仍是選用,攻擊者可能仍會找到入侵企業的路徑。
關鍵在於伴隨支援來強制執行。提前通知員工,並提供設定指南、諮詢時間和修復說明。當人們對此不感到意外時,強制執行的效果最好。
步驟 5:推廣至組織的其餘部分
在高風險帳號受到保護後,將 MFA 推廣至其餘的商務工具。這可以按部門、工具類別或風險等級來進行。
隨時追蹤採用進度:
- 哪些帳號已啟用 MFA?
- 哪些員工尚未註冊?
- 哪些系統仍允許僅限密碼存取?
- 哪些例外狀況仍屬開放,負責人是誰?
企業密碼管理程式能讓團隊清楚掌握哪些帳號已啟用 MFA,以及哪些帳號仍需要更強大的驗證,從而為此過程提供支援。
這正是許多推行工作停滯或失敗之處。在推行日之後,MFA 仍需要持續的監管。
步驟 6:審查例外狀況與復原路徑
每個例外狀況都應有負責人、原因和到期日。如果某個工具無法啟用 MFA,請記錄原因並決定是否需要補償性控制措施。
復原機制也需要定期審查。若未加以控管,備份代碼、帳號復原流程、管理員覆寫和裝置重設都可能成為漏洞。導入 MFA 應旨在讓復原過程更安全,而不僅僅是方便。
Proton Pass for Business 如何讓 MFA 的管理更輕鬆
當憑證管理已受到控管時,推行 MFA 就會變得更簡單。如果密碼被重複使用、私下共享、儲存在瀏覽器中,或是散落於試算表中,MFA 就會變得難以一致地強制執行。
像 Proton Pass for Business 這樣的企業密碼管理程式,其作用不僅僅是強化密碼安全防護。它還能直接支援第二要素。內建的雙重驗證支援意味著團隊能安全地儲存 TOTP 代碼,並將密碼管理程式本身作為 MFA 裝置,這使得更強大的驗證更容易採用,且在合適的情況下也能更安全地共享。員工可以產生強大且不重複的密碼、將其儲存在已加密的保管庫中、自動填入登入資訊、使用內建的雙重驗證支援來處理 TOTP 代碼,並在支援的情況下管理通行密鑰。
這也能提高掌握度。管理員不僅需要了解員工是否擁有強大密碼,還需要知道哪些帳號已啟用雙重驗證,以及哪些帳號仍依賴僅限密碼存取。Proton Pass 能協助 IT 管理員呈現這些資訊,讓組織內部能更容易地追蹤 MFA 採用狀況。
通行密鑰也是一個關鍵考量要素。隨著企業邁向更強大、能防範網路釣魚的驗證方式,像 Proton Pass 這樣支援通行密鑰的密碼管理程式,能協助團隊在同一處管理傳統的 MFA 流程與較新的無密碼方法。在部分系統仍使用密碼與 TOTP,而其他系統已可支援通行密鑰的混合環境中,這能讓推行工作更具實用性。
對於 IT 團隊而言,Proton Pass for Business 支援集中式管理、政策、安全共享,以及透過報告與日誌提高掌握度。這使 MFA 在日常營運上更切合實際,因為團隊不僅能減少密碼四處散落的情況,同時還能讓更強大的驗證在整個組織中更容易部署與管控。
企業密碼管理程式並不能取代 MFA。它能讓 MFA 的實施變得容易許多,因為它強化了第一要素、支援了第二要素,並為企業在邁向更強大驗證的整體進程中,提供了一條更容易管理的路徑。
