2FA功能很好,特别是针对安全本求较高的多人使用或团队使得时很有用,目前微信中的数盾OTP(腾讯开发)能完美支持,但目前该功能需要在系统管理员的“系统设置”里配置,然后每个用户登录后在用户的“个人设置”中配置“启用双重验证”和“信任设备管理”,该逻辑针对个人用户或家庭用户没问题,但如果是团队用户时会存在两个安全问题:
1、除管理员外,其他用户安全意识不一定高,很可能会随意启用信任设备,造成账号密码泄露;
2、其他用户可能随意修改双重验证,但由于对技术不熟悉,造成管理员运维压力。
这两年安全要求越来越高,在管理其他系统时,明明启用的双重验证,但实际使用中因各种原因绕过双重验证的例子太多,每次攻防时都会因为2FA使用不规范造成账号密码被攻方扫描到,最后被横向攻破置入木马。强制启用2FA后用户乱改乱设严重,带来运维压力。
建议:如果后期有开发团队或企业版计划,建议将“双重验证”和“信任设备管理”功能调整到管理员账户统一管理,且用户修改双重验证功能时,必须由管理员提供管理员密码或许可码,普通用户在“我的账号”功能中只需要能重置密码和安全邮箱即可,安全功能配置不建议普通用户操作。
功能调整位置:建议调整到管理员的“系统设置/用户管理”中,由管理员对每个用户的2FA功能进行配置,特别是信任设备,由管理员确认哪些设备可信任(如办公设备),哪些设备不可信任(如个人电脑、网吧设备)。
2025-8-7 18:42:08
