电子邮件服务器/应用程序是否应该受到2因素认证的保护？哪些应用程序应该受到保护？

Question

什么时候电子邮件应该受到2因素认证的保护？

假设一家给定的公司处于一个向其部分或全部客户提供双因素身份验证的行业。这是否意味着它还应该向员工提供(或要求)双因素认证？

如果双因素认证的推出并不是针对公司中的每个应用程序，那么在评估应用程序时应该使用什么标准？

Answer 1

我不认为这有一个简单的答案:你的安全需求可能会有所不同。如果你害怕键盘记录器盗取你的密码，让对手访问机密电子邮件，那么无论如何都要使用2因素授权(以及其他技术)。然而，如果你只期望收到相对平淡无奇的电子邮件，那么就不需要它了，而启用它可能是一个额外的负担--例如，如果你在度假时丢失了手机，你就无法登录到任何一个系统。

此外，使用两个因素可能会鼓励坏习惯；例如，你可能会认为我的手机总是在我身上；所以我可以使用一个简单的，容易猜测的密码。然后，在已经过一次身份验证的系统上，可能有人很容易猜出您的密码。

总之，在以下情况下，2因素auth提供了额外的安全性：

• 用户经常从可能正在运行密钥记录器的各种不受信任的客户端计算机上进行身份验证。
• 用户不介意需要接收短信/电话来进行身份验证的负担。
• 用户并不总是缓存第一个身份验证(只缓存在受信任的计算机上，并且仍然要求用户输入密码)。
• 在第二次身份验证中，用户仍然需要有强密码。
• web身份验证仍然使用https (或等效的；例如ssh登录)(防止使用欺骗服务器进行MITM攻击；如果稍后发现有效令牌，则将密码保密)。

顺便说一下，电子邮件本身并不是发送机密数据的好方法--电子邮件的路由是以明文形式发送的，供任何中间邮件服务器/路由器/传输代理读取。您确实应该使用PGP (或类似的)加密/签名敏感邮件，以保护电子邮件的内容不被读取或秘密更改。