合规要求蛮复杂，没有强制要求，估计很多单位不会上。

听说可以采用堡垒机来侧面通过双因数认证的要求。

以前在最常用的双因子认证是硬件识别码+本地用户密码，可以保证登陆设备都是经过认证的。但一个员工现在的电子设备越来越多，都要一个认证也比较麻烦，后来使用短信认证+本地用户密码，缺点是会产生通讯费，使用令牌+本地用户与密码，不会产生额外费用，但是系统时间一定要同步。个人比较喜欢短信+密码认证。

很少用到双因子认证

等保2.0中和“身份与访问管理”相关的内容很多，如身份鉴别、可信验证、访问控制、安全审计、入侵防范等。

身份鉴别还没有遇到过

认证方式：密码、短信、动态KEY、硬件UKEY、生物特性（指纹、虹膜）等

双因素认证：上述认证方式最少存在两种

指纹、虹膜技术，一般单位涉及不到，成本投入较大，也就门禁用用 （某卫生行业客户说他们有支持虹膜识别的设备，可惜没见过实物）

有的配备了短信猫，大多用来发送动环报警信息或业务办公自动回复信息。如果用来验证登陆，总觉得麻烦，运维时频繁登陆设备我会烦死。邮件同理。而且短信是额外花销。

动态令牌，像以前网银给的电子密码器，就怕这东西没电了，无法收到密钥。个人觉得比短信好点，也有点麻烦。服务的客户中见过用在业务软件的，没见过用在主机认证上的

硬件UKEY，在VPN、AC、堡垒机上看见过，插上就能用，很好很方便。见过几家在用，但一般就是插上不拔下来

为什么要使用双因素：安全

但是实际应用中，需要考虑另外几个因素：效率、成本

跟过十几家单位的测评，就双因素测评来说，大部分都不符合，因为不是一票否决项，少有人重视

测评项目中，会把信息系统中的资产分为三类：

                                                     一般、重要、非常重要

实际中最没存在感的楼层交换机都会被划到   重要等级。

所以按道理来说，系统中所有的设备都应该具有双因素认证。但一般公司是不可能这么做的。

综上，我自己认为，最好的办法是：

首先： 所有可以后台远程的设备，均开启限制地址登陆功能，没这个功能的用安全设备的策略限制

然后： 仅允许堡垒机IP（IP-MAC绑定）和某备用IP（比如绑定领导MAC上，防止堡垒机故障后只能直连的麻烦）可以后台远程

最后： 堡垒机提供审计功能，分配独立运维账户，同时启用双因子认证

                                    8位以上复杂密码+动态令牌卡   这个方式挺好，就是登陆时稍微麻烦一点，好在仅需登陆一次

                                                                                 or

                                    8位以上复杂密码+硬件KEY         学习了硬件KEY是插在运维电脑上的，也很方便

                                    8位以上复杂密码+指纹仪          没见过，但在厂商产品介绍中看过

讨论点1：你在项目或者现有环境中有遇到过那些双因子认证？聊一聊各认证技术分别有那些优势？
没遇到过双因子认证，但从上述了解到有用户名密码认证，AD域认证，短信认证，手机令牌、二维码认证；认证技术最终实现的就是溯源保密的功能
讨论点2：你个人认为双因子认证在贴合环境的情况下那两种认证是你喜欢的？让使用过程中更最简单、高效且安全。
用户名密码+手机短信认证，简单便捷

我觉得这个事情应该强制实施，否则很难全面普及。

太复杂了，不太会呢