在一个组织的内部用户工作站上启用2要素认证的利弊是什么？

Question

一个组织拥有从10个安全域中可以想到的用于网络和系统保护的所有常规控件。对组织服务的外部登录访问受2因素身份验证的保护。作为对安全态势的一种改进，建议在所有用户工作站上启用2因素身份验证。鉴于从物理安全到日志访问的安全控制都得到了很好的实现，在组织的所有工作站上实施2要素身份验证的利弊是什么？

Answer 1

优点:您可以通过这样的方法获得安全:用于在组织中打开门的物理访问卡必须放置在读卡器上或插入到智能卡读卡器中，并保持在那里以保持计算机登录。一旦卡被移除，计算机就会被强制注销。(关闭/l /f /t 0)

为了安全起见，我建议不要锁定计算机，而不是注销它们，但是共享的计算机不会被粗心的用户“锁定”。最好是把电脑注销，如果用户想继续工作，他必须在取出卡片之前保存他的工作。

如果这张卡主要用于进入组织中的所有门，即使是出口方向，甚至厕所，也可以说是自动售货机、咖啡机、复印机、打印机等。

然后工人们就会习惯在去任何地方的时候总是随身携带卡片。

这意味着您不需要在不活动之后注销会话。

这意味着您实际上可以使用它与一个单因素登录(唯一的卡)，而不是使登录非常方便的用户。为了防止丢失的卡，你可以有卡需要出示和一个密码需要输入，在前门或大堂区域，使卡12个小时。

因此，在工作日开始时，用户必须使用card+PIN激活卡。在此之后，卡将工作12个小时，在所有的门和所有的电脑，用户是被允许的。

缺点:成本。购买RFID读卡器用于计算机登录，或者用组合式Chip+RFID卡替换所有的RFID卡，然后投资于智能卡阅读器，都是非常昂贵的。