一、必要性
控制台账号一旦被盗,攻击者可发起批量 OTA、篡改配置、导出设备全量数据或伪造审计记录。密码泄露在钓鱼与凭证填充时代几乎不可避免,多因素认证(MFA)将「知道密码」与「持有第二因子」解耦,显著提高突破成本。达希设备管理平台对租户管理员、OTA 审批人、密钥与证书管理员默认强制 MFA,并可对 工业远程会话 要求硬件安全密钥,降低会话劫持风险。
MFA 应与 零信任 策略联动:在新终端、新地域或异常时间段登录时提高验证强度,而非对所有操作一刀切。
二、因子类型与选型
基于时间的一次性密码(TOTP)部署成本低,适合快速上线;企业微信、钉钉等 OAuth 推送验证贴合国内办公习惯;FIDO2/WebAuthn 安全密钥具备抗钓鱼与绑定站点的能力,适合高敏岗位。应允许注册备份因子,但备份介质须物理保管并定期盘点,防止与主笔记本同包携带。
对无法使用手机的现场工程师,可配置硬件 OTP 或站点级堡垒机代管,避免「为了方便关掉 MFA」的潜规则。
三、阶梯验证与高危操作
普通浏览与只读报表可在单次密码加 MFA 通过后维持会话;执行删除设备、批量导出、吊销证书、修改租户计费绑定等高危操作时,应触发二次验证或审批流。达希支持将操作类型映射到验证等级,并与 API 管理 中的 scope 对齐,防止控制台安全而 API 仍裸奔。
四、服务账号与自动化例外
CI/CD 与服务账号不适用人类 MFA,应使用短期令牌、工作负载身份与 IP 段限制组合,并纳入 RBAC 最小权限。令牌泄露时可通过 凭证轮换 快速止损。禁止将个人账号用于流水线长期认证。
五、恢复、离职与应急
手机遗失或令牌损坏时,需经人工身份核验与主管审批后重置 MFA,全过程写入 合规审计。员工离职应同步禁用所有因子与受信设备记录。红蓝对抗演练中应包含「SIM 卡调换与钓鱼页面」场景,检验员工响应流程。
六、用户体验与策略平衡
对低危角色可启用「受信设备 30 天免二次验证」,但密钥管理员、跨境管理员等角色应禁用该便利。达希提供按应用分组的 SSO 集成,减少重复登录摩擦,同时保留 Step-Up 能力。
七、指标与治理
建议监控:MFA 注册率、异常拒绝次数、恢复工单平均耗时、未启用 MFA 的特权账号清单。每季度与 SOC 手册 评审一次策略是否仍匹配威胁态势。
八、总结
MFA 是控制台与运维面的底线工程,但必须与角色模型、API 治理和审计闭环一起设计才可持续。达希设备管理平台提供多种因子、阶梯验证与可观测指标。延伸阅读:零信任访问、凭证轮换。如需企业 SSO 与 MFA 统一接入方案,请联系达希物联安全团队。