常見解答
什麼是 MFA?為什麼它很重要?
MFA(多重因素驗證,multi-factor authentication)在有人登入時會再多一個步驟。重要的原因是:僅靠密碼往往不足以保護企業電子郵件、薪資、銀行與客戶資料等內容。
簡短回答
MFA(多重因素驗證)意思是,使用者在登入前需要用不只一種方式來證明「確實是本人」。通常會是:某種你知道的資訊,例如密碼;再加上某種你擁有的東西,例如手機上的代碼,或是驗證 App 的核准。
如果有人偷到或猜到密碼,MFA 會讓那個人更難登入帳戶。MFA 並不會讓帳戶「完全無法被駭」,也沒有誠實的服務商會承諾這種事。但它確實是企業最簡單、也最有用的步驟之一,用來降低可避免的登入風險。
對小型企業來說,MFA 通常最重要的是用在:電子郵件、雲端檔案儲存、會計、薪資、客戶系統、遠端存取工具,以及任何會儲存敏感資訊的帳戶。如果你們團隊每天都使用同幾款常見的應用程式,通常先檢視那些地方最有效。
為什麼這對你的企業重要
許多企業問題都從「看起來很正常」的登入開始。密碼可能被重複使用、被猜到、在釣魚郵件(phishing email)中被竊取,或在其他公司的資安事件中外洩。帳戶一旦被打開,外部人士可能會讀取電子郵件、改變付款導向、重設其他密碼,或存取檔案與聯絡人。
因此 MFA 很重要。它會對不該進入的人增加阻力,同時讓你們團隊的正常工作持續運作。對於擁有特權的角色特別關鍵:例如老闆、主管、財務人員,以及任何能存取薪資、銀行、客戶紀錄或管理設定的人。
在部分產業,MFA 也能協助符合基本的合規期待。各產業與各州的要求會不同,但醫療業可能會聽到 HIPAA(Health Insurance Portability and Accountability Act,健康保險可攜性與責任法案)。處理信用卡付款的企業可能會聽到 PCI(Payment Card Industry Data Security Standard,支付卡產業資料安全標準)。與較大型客戶合作的公司也可能會聽到 SOC 2(一種常見框架),用來描述服務組織如何處理安全控制。MFA 並不是解決所有問題的唯一答案,但它常常是合理的基礎。
MFA 在真實情境中可能長什麼樣子
最常見的例子包括:簡訊代碼發到手機、驗證 App 裡的提示、從該 App 產生的輪替代碼,或是實體安全金鑰(physical security key)。用最直白的話說:實體安全金鑰就是一個小裝置,你可以點按或插入它來確認「確實是本人」。
並非所有 MFA 方法都一樣強。簡訊很常見、也相對容易理解,但基於 App 的核准或硬體金鑰通常更強。好的服務商會用白話解釋取捨,並協助企業選擇符合你們預算、人力與日常工作流程的方案。
你也可能會聽到 endpoint 這個詞,意思是工作用的設備,例如筆電、桌機、平板或手機。MFA 是在保護帳戶登入;而設備保護(device protection)則著重在 endpoint 本身。兩者都很重要,但它們解決的是不同的問題。
什麼是「做得好」
好的 MFA 應用在最重要的帳戶上,特別是:企業電子郵件、遠端存取、檔案共享、薪資、會計,以及管理(admin)帳戶。設定方式也要讓員工真正用得上,而不是一直困惑。
好的 MFA 也包含:手機遺失、新進員工、離職員工,以及備援驗證方法的處理計畫。只要有人離開公司或遺失裝置,企業仍應能在不慌亂的情況下恢復存取。
多數企業還需要幾個相關的基本項目。Patching(修補程式)是指保持軟體更新,以修正已知問題。EDR(endpoint detection and response,端點偵測與回應)是一種能協助監控企業設備、偵測可疑行為的軟體。RMM(remote monitoring and management,遠端監控與管理)是許多託管服務供應商會用來監控設備健康狀態並套用例行維護的軟體。這些都不等同於 MFA,但常常會一起被討論,作為可落地的安全基線。
如果你正在與託管服務供應商(常被稱為 MSP)溝通,通常可以問他們如何推動 MFA、如何做訓練、如何處理恢復,以及有哪些例外情況(exceptions)。請要求白話說明,而不是行話。你也可以在我們的 協助中心/知識庫(help library) 讀到更簡單的回答,或瀏覽 託管 IT 服務主題。
在你買任何東西之前,值得先問的問題
如果你不是技術背景,你不需要一開始就從產品名稱下手。先從企業問題開始想:哪些帳戶最重要?誰有管理權限(admin access)?如果手機遺失會發生什麼?當員工被鎖在系統外,他們要怎麼獲得協助?
如果你在比較不同供應商,可以問:MFA 的設定是否包含在每月服務中,或是需要另外計費。再問:上線(onboarding)流程怎麼做、員工訓練怎麼處理,以及主管與財務使用者是否會得到額外的關注。如果供應商提到 SLA,那是 service level agreement(服務等級協議),也就是用來說明回應目標與服務條款的文件。
你也可能會聽到 vCIO(virtual chief information officer,虛擬首席資訊官)。通常代表資深顧問,協助規劃、編列預算與做出 IT 決策。不是每家小型企業都需要到這個程度的支援,但有些公司在選擇資安優先順序時確實會受益於指引。
如果你想找能把這些講清楚的獨立供應商,先幫你配對(get matched)。NodeBridge IT 是免費的配對服務。我們不代管、不監控、不替你保護、不修復,也不存取你的系統或帳戶。
誠實提醒
NodeBridge IT 是免費配對服務,不是 IT 供應商。此處資訊為一般性與教育性內容——簽約前,請以書面方式向任何供應商確認涵蓋範圍、SLA 與價格。無人能保證正常運作、資安或復原能力。
MFA 會增加一個額外的登入步驟,對許多小型企業來說,這是一種能在僅靠密碼之外,實務上降低帳戶風險的方法。
常見問題
MFA 跟密碼管理程式是同一件事嗎?
不是。密碼管理程式會儲存並協助建立強密碼。MFA 會再增加第二步登入。很多企業會同時使用,因為它們解決的是不同的問題。
所有員工都需要 MFA,還是只有老闆和主管?
先從每個會使用企業電子郵件、雲端應用程式或遠端存取的人開始。老闆、主管、財務人員與管理者使用者通常是優先順序最高的,但只把 MFA 限定在少數幾個人身上,可能會留下漏洞。
用簡訊做 MFA 夠用嗎?
比只用密碼登入更好,但基於 App 的核准或實體安全金鑰通常更強。正確的選擇取決於你們的團隊、你們使用的應用程式,以及員工在現實中能接受多少操作上的摩擦。
MFA 能阻止所有帳戶攻擊嗎?
不行。它會降低風險,但無法保證一定安全。沒有誠實的服務商會承諾零停機或完全無法被入侵的網路。
託管服務供應商能替我們把這些設好嗎?
通常可以。許多 MSP 會協助企業選擇、部署與支援 MFA,作為更完整 IT 支援的一部分。NodeBridge IT 也可以幫你找到獨立供應商,讓你能跟他們討論,而我們的服務對你是免費的。