還記得剛進公司的第一天，IT 交給我一組帳號密碼，叮嚀：「千萬不要外流」。
但現在光靠帳號密碼，已經很難抵擋駭客了。密碼外洩、釣魚信、暴力破解，都讓帳密組合變成資安界的「過時武器」。

在 Zero Trust 裡，身份（Identity） 被視為最重要的一環。因為駭客要進公司，第一件事就是「取得合法帳號」。
如果身份沒有管好，什麼防火牆、EDR、SIEM，最後都可能被繞過。

所以，我們必須確保：

• 帳號不會被濫用（共用帳號是大忌）
• 離職帳號馬上關閉（否則變後門）
• 權限符合最小化原則（不用的權限要回收）
• 登入的人真的是本人（這就是 MFA 的任務！）

為什麼現在一定要上 MFA？

近年許多勒索事件，都是憑證外洩後，攻擊者透過合法的 SSL VPN／遠端入口進到內網，再橫向移動散播勒索。
把「知道密碼」變成「還得證明本人」，能直接切斷這條最常見的攻擊路徑。

而且不論密碼再怎麼強，總有機會被竊取或破解；只有加上 MFA，才能有效降低風險。

稽核要求

現在不只 ISO/客戶審查，多數供應商與雲服務也把 MFA 視為基本門檻；特別是管理者帳號與外部合作帳號，幾乎一律強制。

MFA 常見的使用場景

1. 開機／作業系統登入

   • Windows、macOS 都可整合 MFA：如 Windows Hello（指紋／臉部／PIN）或安裝登入層外掛（推播／TOTP）。
   • 有些公司要求 開機後先過 App 推播或 OTP 才能進桌面。

2. 公司系統（內部／雲端）

   • ERP / 郵件 / 協作（如 O365、Google Workspace）
   • 常見方式：Authenticator App（Google/Microsoft 等） 推播＋數字配對、或 TOTP 六位數碼。

3. VPN／遠端連線

   • 沒有 MFA 的 VPN = 把公司大門鑰匙放在馬路邊。
   • 多數 VPN 都支援：RADIUS / SAML / OIDC 串接 MFA。
   • 若需要「開機前連線（Pre-logon/SBL）」，可先用機器憑證掛上 VPN，使用者登入時再跑 MFA。

4. 伺服器與安全服務後台

   • EDR 中控台、SIEM、雲主控台等高敏感入口，優先上 MFA（最好為 FIDO2/Passkey）。

5. 各種 SaaS 平台

   • GitHub、AWS、GCP、Salesforce… 一律 SSO + MFA，不要散落本地獨立帳號。

現在的趨勢

• FIDO2 / Passkey 無密碼
  以裝置內私鑰 + 指紋/臉部取代密碼，天然抗釣魚；YubiKey 這類硬體金鑰也屬此類。
  Apple / Google / Microsoft 都已支援，正邁向「無密碼時代」。

• 推播改「數字配對」
  為防 MFA 疲勞轟炸，推播需使用數字配對（使用者需輸入螢幕顯示數字到手機 App），比單純按「接受」安全得多。

• 條件式/情境式 MFA
  依據地點、裝置合規、風險分數動態要求 MFA。
  例如：內網＋受管裝置可放行；外部網路或風險高就強制 MFA。
  （常見於 Entra ID、Okta、Ping 等 IdP；這裡僅點名，不做產品介紹。）

如果說密碼是第一道鎖，那 身份管理就是鎖的規則（誰能開、什麼時候能開），而 MFA 則是第二把鎖，會根據情境自動加強。
在攻擊手法越來越高明的今天，沒有 MFA，就像把大門只靠一條橡皮筋綁著。

所以，當有人說「我們公司不需要 MFA」時，你可以回他：

駭客才正等著感謝你呢。