雙因素認證：會計行業指南

為什麼雙因素認證在會計專業中是必不可少的

會計師事務所每天處理高度機密的財務數據：稅務申報表、資產負債表、工資單、數百家客戶企業的銀行信息。根據法國國家信息系統安全局(ANSSI)2025年年度報告，針對受監管行業的釣魚攻擊在一年內增加了37%。面對這一威脅，雙因素認證(2FA)——也稱為多因素認證(MFA)——構成了推薦的第一道技術防線。

雙因素認證基於一個簡單原則：為了訪問系統，用戶必須通過兩個不同的因素證明身份。第一個通常是「你知道的東西」（密碼），第二個是「你擁有的東西」（智能手機、物理密鑰）或「你本身的特徵」（生物識別數據）。根據Verizon DBIR 2024報告，這一機制使得僅通過盜取密碼的攻擊幾乎不可能，而此類攻擊仍佔數據泄露的81%。

對於會計師而言，符合eIDAS法規及其強身份認證要求已不再是可選項：這是監管和倫理上的必要條件。本文將逐步為您解釋如何在您的事務所配置2FA、選擇哪些工具以及如何幫助您的同事完成這一轉變。

---

適合會計行業的雙因素認證方法

認證應用程序(TOTP)

會計師事務所中最普遍的方法是使用生成時間代碼(TOTP——基於時間的一次性密碼)的應用程序。Google Authenticator、Microsoft Authenticator或Authy等解決方案生成一個6位數代碼，每30秒更新一次。該代碼與在註冊階段存儲在應用程序中的共享密鑰相關聯(掃描二維碼)。

事務所的優勢：無額外成本部署、離線工作、與幾乎所有會計軟件兼容(Sage、Cegid、ACD、MyUnisoft)。缺點：如果同事丟失手機，恢復程序需要預先準備(恢復代碼應妥善保管)。

物理安全密鑰(FIDO2/WebAuthn)

對於處理大量敏感數據或經常接受審計的事務所，物理硬件安全密鑰(如YubiKey或Feitian)提供最高的保護級別。基於FIDO2和WebAuthn標準，它們抵抗釣魚攻擊在設計上：密鑰在認證前加密驗證網站域名，中和了「中間人」類型的攻擊。

越來越多的稅務門戶和強制提交平台(DGFiP、infogreffe)傾向於接受這些標準。一個管理約百個委託的事務所可以在數週內通過減少安全事件管理時間來收回購買密鑰的成本(約50-80歐元/個)。

SMS OTP：敏感數據應避免

雖然SMS發送的代碼在許多系統中仍然是一個選項，但美國NIST(國家標準與技術研究所)在2016年將其從強身份認證方法類別中降級。SIM卡交換攻擊(將電話號碼欺詐性轉移到攻擊者控制的SIM卡)曾影響過數個法國會計師事務所。對於訪問稅務數據或法律和會計事務所的電子簽名工具，SMS OTP應僅被視為最後手段的解決方案。

---

如何配置雙因素認證：分步指南

第1步——應用程序清單和範圍界定

在任何技術部署之前，列出您事務所使用的所有應用程序的完整清單：

• 會計軟件：Cegid Loop、Sage 100 Cloud、ACD Inforce、Quadratus、MyUnisoft
• 郵件和協作工具：Microsoft 365、Google Workspace、Slack
• 文檔管理和簽名工具：提交平台、工作流工具
• 遠程訪問：VPN、RDP、虛擬桌面
• 客戶門戶：與客戶的文檔交換空間

對於每個應用程序，檢查2FA是否可用(設置的「安全」部分)以及支持哪種方法(TOTP、FIDO2、SMS)。根據可訪問數據的敏感性按關鍵性對應用程序進行分類。

第2步——技術部署和員工註冊

對於Microsoft 365，配置通過Azure Active Directory(Entra ID)門戶進行。啟用「安全默認值」或對於超過10名同事的事務所，配置條件訪問政策(從Business Premium許可證開始可用)。這些政策允許僅在某些情況下要求2FA：從辦公室外訪問、從未知設備登錄、異常時段。

對於會計軟件，程序因編輯而異：

• Cegid Loop：安全設置 > 啟用雙認證 > 為每個用戶生成二維碼
• MyUnisoft：管理 > 安全 > 強認證 > 為所有檔案強制2FA
• Sage 100 Cloud：聯繫Sage管理員或您的經銷商以啟用MFA模塊

計劃與每位同事進行一次註冊會議(每人15-20分鐘)。向每位用戶分發包含其恢復代碼的摘要表，將其保存在安全的實地位置(例如事務所保險箱)。

第3步——管理政策和應急程序

技術實施只是工作的一半。文檔化的安全政策必須規定：

• 誰可以臨時禁用2FA(僅限系統管理員，絕不是同事本身)
• 設備丟失程序：立即阻止帳戶、再生恢復代碼、監督下重新註冊
• 審查頻率：半年一次審計訪問和認證方法
• 離職管理：任何同事離職時立即撤銷訪問權限和2FA密鑰

此政策自然融入您的業務連續性計劃(BCP)和GDPR意義下的數據處理登記。查閱Certyneo幫助中心可以為您提供適合小型和中型結構的政策模板。

---

2FA與電子簽名工具的集成

高級或合格電子簽名，如eIDAS法規所定義，要求簽署人的強身份認證。具體而言，當您的事務所將委託書或服務合同傳送給客戶簽署時，簽名平台必須以強健的方式驗證簽署人的身份。這正是2FA發揮作用的地方。

在符合eIDAS的簽名平台中(高級或合格級別)，簽署人通過電子郵件收到鏈接，然後必須通過第二渠道驗證身份(SMS、認證應用程序或合格證書)。此過程創建帶時間戳和密碼可驗證的審計軌跡，這在爭議情況下構成無可辯駁的證據——這對於在每項任務上承擔其專業民事責任的會計師而言至關重要。

要了解不同的簽名級別並選擇適合您文檔流程的級別，建議閱讀完整的電子簽名指南。使用Certyneo的事務所受益於簽名過程中2FA的本地集成，這減少了簽署人的摩擦，同時維持了所需的合規級別。

應特別注意委託書(根據法國會計師協會(OEC)專業規範2400必需)和審計報告：這些文檔涉及專業人士的個人責任，需要無懈可擊的認證可追溯性。您甚至可以使用AI合同生成器來自動化這些文檔的創建，同時在設計中整合強身份認證要求。

---

員工培訓和宣傳：人的因素

即使最嚴格的技術部署，如果同事不理解問題或繞過安全設備，也會變得無效。在會計專業中，團隊通常由非常多樣化的檔案組成：資深合夥人、初級同事、實習生、行政助理。培訓必須適應每個檔案。

建議的針對5-30人事務所的宣傳計劃：

1. 啟動會議(1小時)：具體風險演示(行業中匿名化的實際事件示例)、現場配置演示、問答
2. 短視頻教程(3-5分鐘)：每個關鍵應用程序一個教程，在事務所內聯網中可用
3. 模擬釣魚練習：在部署後3個月發送假釣魚電子郵件以衡量實際警惕性，並識別需要額外支持的同事
4. 納入入職：所有新同事在第一天配置其2FA，有指定的參考人

法國會計師協會(OEC)也在年度培訓義務(註冊在冊的會計師為40小時)框架內提供網絡安全培訓資源。如果您的事務所獲得ISO 9001認證或尋求網絡安全認證(例如ANSSI的ExpertCyber標籤)，這些培訓可在您的質量方法中得到重視。

會計專業中強身份認證的適用法律框架

在會計師事務所中實施雙因素認證符合一個密集的監管框架，圍繞多個基礎文本組織。

eIDAS法規第910/2014號及其修訂eIDAS 2.0(歐盟法規2024/1183) 是歐洲電子身份認證的參考基礎。第8條為電子身份認證手段定義了三個保證級別：低、實質和高。對於涉及會計師專業責任的行為(簽署報告、在線驗證稅務申報表)，需要「實質」或「高」保證級別，這必然意味著多因素認證。

GDPR(歐盟法規2016/679)在第32條中要求負責人實施「適當的技術和組織措施」以確保個人數據的安全。會計師事務所處理敏感個人數據(財務數據、通過包含病假信息的工資單獲取的健康數據等)。缺少對會計軟件訪問的2FA很可能構成對本條的違反，使事務所面臨高達全球年營業額4%的處罰(GDPR第83條)。

民法第1366和1367條規范電子簽名的法律價值。第1367條規定「當電子簽名程序實施合格電子簽名時，其可靠性被推定為可信的，直到相反證明」。強身份認證是這一可靠性推定的基本組成部分。

NIS2指令(歐盟指令2022/2555)由2024年5月21日第n°2024-449號法律及其應用法令在法國法中轉置，將網絡安全義務擴展到廣泛的實體。雖然會計師事務所未直接列為關鍵實體，但為關鍵或重要實體(衛生機構、地方當局、關鍵基礎設施企業)提供數字服務的事務所可能通過其服務合同受到間接義務的約束。

法國會計師協會專業規範2400對處理法定任務的事務所的信息系統安全施加了加強的努力義務。ANSSI在其「TPE/PME信息系統安全指南」(2024版)中明確推薦MFA作為最低措施。

專業民事責任：如果因缺少2FA而導致客戶數據泄露，事務所的職業責任保險提供商可能會援引特徵錯誤來減少或拒絕其擔保。強烈建議保留2FA部署的技術文檔作為盡職調查的證據。

場景：會計事務所中的2FA實踐應用

場景1——中等規模的會計師事務所

一個由約15名同事組成並管理約400個活躍委託的事務所決定在釣魚事件幾乎危及其工資軟件訪問後在所有工具上部署2FA。管理層選擇了Microsoft 365上的Microsoft Authenticator(電子郵件、SharePoint、Teams)和其云會計軟件的本機TOTP應用程序。

部署在三週內完成：一週的庫存和配置、一週按五人組對同事進行的註冊、一週的跟進和問題修正。結果：在隨後的12個月內零帳戶洩露事件，而前一年有兩起事件。安全事件管理時間減少了約70%。該事務所還能向幾個大型客戶(包括一家實施供應商安全憲章的工業中小企業)證明其系統符合MFA要求。

場景2——專門從事中小企業法定審計的事務所

一個管理約60個法定審計委託的審計師事務所遇到一項具體要求：其越來越多的客戶要求在續簽任務時提供GDPR合規性證明。該事務所為合夥人(訪問最敏感的文件)選擇了FIDO2安全密鑰，為資深同事選擇了TOTP應用程序，同時僅對低敏感性訪問保持SMS OTP。

同時，事務所在其審計報告流程中集成了高級電子簽名，系統強制簽署人進行強身份認證。由於生成的審計軌跡，兩個潛在爭議涉及客戶質疑報告有效交付日期可以通過提供帶時間戳的認證日誌有利於事務所的方式解決。簽署報告時間的減少(從平均5天到不到24小時)也流暢了發票和改善了約15%的現金流。

場景3——處於外部增長階段的事務所

在兩年內吸收三個獨立結構的一個地區會計師事務所網絡發現自己系統差異很大：一些被吸收的事務所沒有2FA政策，其他使用SMS OTP。該集團利用這一整合機會在統一的身份管理(IAM——身份和訪問管理)解決方案上實現統一，2FA為強制性。

初始投資(IAM許可證、培訓、支持)對整個集團(約45名同事)估計約為8,000歐元。作為回報，與安全事件相關的成本減少(IT提供商干預、危機管理)估計為第一年的15,000-20,000歐元。通過向其保險公司提供2FA部署文檔，該集團還能夠協商其網絡保險費率降低約20%。

結論

雙因素認證不再是為大型結構保留的奢侈品：它是任何會計師事務所的安全和合規必要條件，無論其規模如何。在GDPR要求、ANSSI建議、電子簽名eIDAS義務和客戶對提供商安全規範日益增長的壓力之間，2FA已成為該行業無可爭議的標準。

好消息是：今天的部署是可訪問的、快速的且成本低廉的。按照本文描述的步驟——應用程序庫存、選擇適配方法、員工註冊、編寫文檔化政策——您的事務所可以在數週內達到強健的安全級別。

Certyneo在其電子簽名流程中本地集成強身份認證，使您能夠將eIDAS合規性和MFA安全性相結合而無需額外複雜性。發現我們的產品和定價或聯繫我們的團隊以獲得個性化支持，確保您的事務所符合規範。