Multi Factor Authentication

Table of contents

背景

需求

怎麼樣的系統適合使用MFA?

多因素驗證(MFA, Multi-Factor Authentication)適合 需要高安全性 的系統,尤其是:

  1. 涉及機敏資訊的系統
  • 政府與軍事系統(如國防、國安機關)
  • 醫療系統(如醫院電子病歷 EHR、健保系統)
  • 金融系統(如銀行、證券交易、加密貨幣交易所)
  • 企業內部系統(如 ERP、HR、人資系統)
  • 學術與研究機構(有機密研究數據的機構)

➡ 原因:這些系統存放大量機敏資訊,密碼洩漏可能導致重大損失。

  1. 涉及遠端存取的系統
  • VPN(虛擬私人網路)
  • 遠端桌面(RDP)與 SSH 伺服器
  • 雲端管理平台(AWS, Azure, GCP)
  • DevOps 工具(如 GitHub, GitLab, Jenkins)
  • 客戶支援系統(如客服後台、CRM)

➡ 原因:這些系統可以從外部網路存取,密碼容易被攻擊,MFA 提供額外保護。

  1. 公開或高風險的網路服務
  • 電子郵件服務(如 Gmail, Outlook, 企業郵件伺服器)
  • 社群平台(如 Facebook, LinkedIn, Twitter, Instagram)
  • 線上支付系統(如 PayPal, Apple Pay, Google Pay)
  • 線上學習平台(如 Coursera, Udemy, Moodle)
  • 內容管理系統(如 WordPress, Joomla, Drupal)

➡ 原因:這些服務經常受到釣魚攻擊與憑證洩露的威脅,MFA 可降低風險。

  1. 企業內部的身份與存取管理(IAM)
  • Active Directory(AD)與 FreeIPA
  • 身份提供者(如 Keycloak, Okta, Auth0, Azure AD)
  • 企業 SSO(Single Sign-On)
  • 開發者 API 與 Web 服務

➡ 原因:這些系統管理大量使用者帳號,MFA 可防止憑證洩露影響整個企業網路。

  1. 總結:哪些系統最適合用 MFA?
  • ✅ 必須使用 MFA
    • ✔ 遠端存取(VPN、SSH、RDP)
    • ✔ 金融、政府、醫療等高機密系統
    • ✔ 公開網路可存取的重要帳號(郵件、社群、雲端管理)
    • ✔ 開發與 DevOps 相關帳號(GitHub, AWS, GitLab)
  • ⚠ 建議使用 MFA
    • ✔ 一般企業內部系統(ERP, HR, SSO)
    • ✔ 內部開發與測試環境
    • ✔ 需要合規要求(GDPR, HIPAA, PCI-DSS)的系統
  • ❌ 可以不強制 MFA,但需加強密碼策略
    • ✖ 一般使用者的個人網站或部落格
    • ✖ 內部封閉網路的非機密系統

如果你的系統 涉及遠端存取、機敏資料,或經常受到攻擊,那就應該啟用 MFA。

Terminology

GDPR etc

這些都是些什麼?GDPR, HIPAA, PCI-DSS

這些都是 資料隱私與安全法規或標準,適用於不同產業和地區:

縮寫全名適用範圍主要目的
GDPRGeneral Data Protection Regulation歐盟(EU)保護個人資料隱私,要求公司在蒐集、處理、儲存個資時,遵守透明、可控、安全的規範
HIPAAHealth Insurance Portability and Accountability Act美國針對醫療資訊的隱私與安全,確保病患的電子健康紀錄(EHR)受到保護,防止未授權存取
PCI-DSSPayment Card Industry Data Security Standard全球適用於信用卡交易 保障信用卡支付的安全性,要求企業加密與安全儲存持卡人資訊,以防詐騙與資料外洩

這些標準都與 資料保護與合規 有關,適用於不同領域,如 科技業、醫療業、金融業 等。