遠端員工適用的多重要素驗證與單一登入

現在整個職場勞動力與各教育程度的學生族群全都在家登入，因此單一登入和多重要素驗證部署作業的重要性更勝以往。

人們使用開放網際網路連線的時間越長，網路罪犯駭入其帳戶並趁機全面入侵公司行號或教育機構網路的風險就越高。

短期內，這方面挑戰得以緩解的可能性並不大。在家工作 (Work From Home, WFH) 的規定恐怕還得持續幾個月的時間。因此，為保持牢不可破的資安防護措施，採用多重要素驗證 (Multi-Factor Authentication, MFA) 可謂至關重要。此外，為了避免登入流程讓一般使用者過於煩惱，部署單一登入功能也相當重要。

這篇文章介紹實施 MFA 時可以考慮的高階策略，同時也將說明關於 SSO 的重要斟酌事項。採行這些措施能幫助您保護個人資料和數位資產，避免網路罪犯群體利用人人都得在家工作的這段時間趁虛而入。

讓員工透過...安全又符合規範的方式協作！歡迎參閱這份免費電子書，深入瞭解相關資訊

MFA 部署策略

在整個網路基礎架構中部署 MFA 並非一蹴而就，也並非只進行一次而且有時限的專案。這是一項持續的安全計畫，必須仰賴 IT 團隊及整個組織的長期配合。

不過，只要懂得善用以下幾項關鍵策略，就能大幅提升整個流程的效率：

• 採取由內而外的方法—要求使用者採用 MFA 之前，先評估所有基礎架構硬體裝置及應用程式的關鍵程度，而且內部部署及雲端部署都不可遺漏。之後，您可以針對首先需要 MFA 防護措施的系統排定優先順序。您可能會發現有些舊系統根本不支援 MFA。您需要更新這些系統，否則就得承擔系統出現漏洞的風險。您可能還需要限制存取權限。
• 推廣價值—說明您之所以採行 MFA 的原因。大家都該知道，一旦人人都上網工作，就會擴大組織的攻擊面。不過，您還要讓大家知道，MFA 能夠保護員工的個人資訊及組織的資產。
• 發揮同理心—非技術人員勢必會認為 MFA 是多出來的工作，覺得不方便，內部 IT 團隊需要接受這一事實。非技術人員可能必須習慣使用安全金鑰，或是得使用需要驗證工具的裝置，除非他們的裝置支援生物特徵辨識技術。
• 訓練和支援—提供說明影片和說明書，解釋 MFA 流程的運作方式。熟悉 MFA 技術的人都知道這項功能很簡單。但是，不熟悉這項技術的人很容易會在多出來的步驟中卡關，而且可能無法登入。所以，一定要隨時準備提供技術支援。
• 部署前先測試—就像使用任何應用程式一樣，在整個公司部署 MFA 之前，應該先在一個小組中的每一台電腦上測試 MFA。您可以透過這種方式確認 MFA 能否正常運作，也能讓使用者輕鬆存取使用。
• 排定使用者的優先順序—您的管理員帳戶以及具有較多網路存取權限的人優先。一旦這些帳戶出現漏洞，數位資產受害的風險最大。其他可以優先安排的一般使用者包括高階管理團隊成員，接下來則是財務和人力資源部門的一線人員。先顧好這些群組後，您也能夠進一步測試實施情況，同時能夠先消除一切障礙，再開始部署於整個組織。
• 追蹤註冊情形：實施 MFA 時，您需確認是否每一個人皆已註冊完畢，還要確認每個人選擇使用的驗證方法。使用者等待時間越長，駭客能夠入侵使用者帳戶的時間就越充裕。

完成 MFA 部署之後，就要衡量這項技術對安全程度與生產力造成的影響。衡量方式包括請使用者反映意見，以及瞭解服務專線活動情形。監控登入失敗、網路釣魚攻擊以及權限升等遭拒等情形，也是相當重要的工作。沒錯，MFA 的目的在於保護數位資產，但倘若因此影響員工工作，可能就得準備更改政策，或者可能需要換一種 MFA 策略。

運用 SSO 減輕 MFA 的負擔

有些重要的應用程式或許必須採行專用的 MFA 流程，但您可以運用單一登入 (Single Sign-On, SSO) 整合應用程式群組的 MFA 技術，從而減輕整個 MFA 計畫的負擔。採用 SSO 時，使用者只要以 MFA 登入一次，之後即可存取使用多項服務。

舉例來說，您可以使用 SSO 授權他人存取 Microsoft Office 應用程式以及倉儲和行銷應用程式；而且，只要使用 MFA 登入一次，就能完成以上所有工作。不過，倘若有人想要存取使用 ERP 或 CRM 平台，則必須使用各應用程式專用的登入資訊。

要找出適合貴公司使用的 SSO 解決方案，首先一定要確定這項解決方案能夠輕鬆整合您的 MFA 機制和通訊協定。另外，還要確認 SSO 解決方案適用的應用程式。例如，有些內部部署解決方案開放網路及企業應用程式使用 SSO，但不適用於 VDI 和 SaaS 應用程式。反之，有些廠商提供的 SSO 適用於雲端和 SaaS 應用程式，卻不適用於內部部署應用程式。

預先設想突發狀況

完成實施 MFA 和 SSO 後，就要預先設想突發狀況。除了感到困惑的使用者以及未正確設定 MFA 及 SSO 流程的系統之外，所謂的突發狀況還包括遺失裝置和忘記密碼——這是最常造成服務專線負擔過重的問題。

重點是要安排好相應的支援人員，並且盡可能備妥額外的資源。久而久之，您會調整各項系統，使用者也會獲得經驗。也許，屆時您會發現使用者開始讚賞 MFA 和 SSO 的優點——只要多花一點點功夫，就能讓個人和組織資料全數得到安全保障，不用擔心網路罪犯！