在資訊的世界裡帳號等於個人身分證，許多公司內部的資訊系統越建越多，起初可能每個持有4~5組帳號密碼，後期亦有可能為了整體的營運方便使用SSO來簡化，通通用AD管理就好了嘛、公司的帳號都交給IT管理放心啦。這樣真的安全嗎?

方便與危機僅有一線之隔，你的方便駭客也跟著開心

一、常見的破口:身分盜用
如前天Email破口提到，現在外部網站被攻破後帳號外流的事件屢見不顯，倘若用公司的email去註冊，且帳號密碼都用同一組，在收集夠多的社交資訊後(如真實姓名、生日、手機、住址、任職地點、學校，或稱肉搜)，像拼圖般拼出一個人的全貌簡直易如反掌，用此攻進公司系統、開大門走大路進出一點都沒問題。

(圖片引用自T客邦)

阿...這一題太沉重嗎?來看個電影吧
【竊資達人Identity Thief 】

二、普遍防禦方式:多因子認證
除了持續內部宣導個資保護和公務帳號不外流外，目前業界普遍推行的技術作法即採用多因子驗證(MFA/2FA)來強化帳號保護，所謂雙因素認證，即用戶持有的認證裝置或設備(手機)，和其已知的資訊(密碼)同時使用，缺一不可。
這樣的做法兼顧了便利性和保密性，透過OTP動態密碼不斷更換的特性，或是推播確認到裝置上，保障帳戶的存取安全，有效解決帳號密碼被盜用的風險。

其優異的泛用性(例如支援SAML(Security Assertion Markup Language))，可搭配AD、VPN、雲端服務、RADIUS、SAP、ERP等各種驗證；而第二因素的驗證方式或可使用手機的生物辨識(指紋/人臉)來強化。
MFA/2FA有下列常見的驗證模式:

• 1. TOTP( ime-based One-time Password):時間同步，每間隔30~60秒間變換一次，最廣為使用。
• 2. HOTP(HMAC-based One-time Password):事件同步，用某一特定的事件次序及相同的種子值作為運算，通過HASH算法運算出一致的密碼。
• 3. Push Notification:推播驗證，每次使用時會於手機或裝置上彈出確認訊息，需要在一定的時間內回應。此法使用者接收度較高，與現行使用習慣差異較小。
     

MFA/2FA這麼好用，那...要錢嗎?
USER關心好用/方便與否、長官主管考量投資預算問題，適用的工具產品也非常非常多元，要費用的和不用費用的都有，舉例來說:

• 1.國內做MFA/2FA最廣為人知的莫過於全景軟體的MOTP/ID Expert，凡舉銀行、科技業、軍方、政府皆有成功案例；國外則是以RSA最老牌；另外若環境中有Fortinet設備，FortiToken也是可以參考的選項。
  
  (圖片引用自全景軟體)

• 2.省錢的便宜選項:透過酒肉朋友介紹，筆者最近發現NOD32防毒軟體的廠商ESET ，2014年開始推出ESET Secure Authentication (ESA) 這套雙因驗證產品，授權成本於國外網站上查的到，不失為一個彈性的選擇。(但是在台的維護能量和成功案例數可能比開源更...，不過改天應PO寫些安裝設定文上來)。

若從未使用過，可先啟用G-mail或FB的帳號登入二階段保護，了解體驗一下運作原理囉！

延伸閱讀與參考資料:
一次性密碼演算法：簡介HOTP、TOTP和Google Authenticator
雙因子認證/多因子認證機制 - 加強身分驗證之安全性
何謂雙因素認證技術？
世界頂尖資安專家傳授：3招拒絕成為駭客的待宰羔羊