听说可以采用堡垒机来侧面通过双因数认证的要求。

认证方式：密码、短信、动态KEY、硬件UKEY、生物特性（指纹、虹膜）等

双因素认证：上述认证方式最少存在两种

指纹、虹膜技术，一般单位涉及不到，成本投入较大，也就门禁用用 （某卫生行业客户说他们有支持虹膜识别的设备，可惜没见过实物）

有的配备了短信猫，大多用来发送动环报警信息或业务办公自动回复信息。如果用来验证登陆，总觉得麻烦，运维时频繁登陆设备我会烦死。邮件同理。而且短信是额外花销。

动态令牌，像以前网银给的电子密码器，就怕这东西没电了，无法收到密钥。个人觉得比短信好点，也有点麻烦。服务的客户中见过用在业务软件的，没见过用在主机认证上的

硬件UKEY，在VPN、AC、堡垒机上看见过，插上就能用，很好很方便。见过几家在用，但一般就是插上不拔下来

为什么要使用双因素：安全

但是实际应用中，需要考虑另外几个因素：效率、成本

跟过十几家单位的测评，就双因素测评来说，大部分都不符合，因为不是一票否决项，少有人重视

测评项目中，会把信息系统中的资产分为三类：

                                                     一般、重要、非常重要

实际中最没存在感的楼层交换机都会被划到   重要等级。

所以按道理来说，系统中所有的设备都应该具有双因素认证。但一般公司是不可能这么做的。

综上，我自己认为，最好的办法是：

首先： 所有可以后台远程的设备，均开启限制地址登陆功能，没这个功能的用安全设备的策略限制

然后： 仅允许堡垒机IP（IP-MAC绑定）和某备用IP（比如绑定领导MAC上，防止堡垒机故障后只能直连的麻烦）可以后台远程

最后： 堡垒机提供审计功能，分配独立运维账户，同时启用双因子认证

                                    8位以上复杂密码+动态令牌卡   这个方式挺好，就是登陆时稍微麻烦一点，好在仅需登陆一次

                                                                                 or

                                    8位以上复杂密码+硬件KEY         学习了硬件KEY是插在运维电脑上的，也很方便

                                    8位以上复杂密码+指纹仪          没见过，但在厂商产品介绍中看过

双因子认证的技术问题，赶脚各路大神都已回复完毕，就不再深究；
而我反倒想讨论下“双因子认证是否安全？”双因子认证的东西，其实生活中也使用了不少，游戏、堡垒机、手机应用、支付等，虽然双因子认证确实提高了安全性，但各种令牌都取决于发行者或制造商的安全性吧？现网上不少勒索病毒或入侵泄密比比皆是，有双因子认证只能说是增加了一道防线，但实际基础防护才是重心，毕竟使用认证的人存有纰漏，那也只是多了个操作步骤而已（删库逃跑事件，哈哈~跑题了。）

坚持每日学习打卡

测试

我是在堡垒机上开启密码+手机动态令牌，再从堡垒机登录设备的方式。这应该是满足登报要求的。

感谢楼主分享，每日学习打卡

我觉得指纹、密码、加动态人脸是最方便，哈哈

粤省事小程序属于哪种？人脸识别加动作（眨眼、点头，张嘴），这里相当于存在于组合两种方式了吧？

等级保护三级系统中，做过一级和二级认证

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。

谢谢分享，有助于工作！