我有几个多因素身份验证设备链接到我的贝宝帐户。我还有两个不同的多因素身份验证设备来保护我的 stackexchange 登录。这样做绝对是可能的。

这样做有多个要求。一是简单方便（我使用当时离我最近的设备进行身份验证）。可能会出现更正式的要求，因为在不同的保证级别 (LoA) 发布了不同的令牌 - 我在不同的保证级别有多个凭证。使用低保证凭证登录可能对我来说很方便，但如果我想采取需要更高保证的操作，我可能需要使用不同的凭证重新进行身份验证。

@Lucas Kauffman 是完全正确的；我不希望我的管理员在浏览互联网时使用与修补我的服务器时相同的凭据登录。

这个答案很容易在书本上继续下去，并且超出了 SEC:SE 的范围。网络空间可信身份国家战略 (NSTIC)可以看作是对这个问题的回答。

如果您的用户是 testuser，并且需要例如访问具有 admin、普通和特殊帐户的帐户（不使其成为 admin 帐户，但也比普通帐户具有更多权限）。那么可能需要多个令牌。

我还看到，当一个帐户无法执行操作 A 和 B 时，实际上会发生这种情况。如果用户需要访问操作 A 和 B，那么您可能需要发行两个令牌。（如果您这样做，请确保保持良好的职责分离）。然而，这是应用程序中限制的一种解决方法。

一个组织只需要一个设备的“常识”是一个成本问题：如果一个令牌每个成本 60 美元，并且您已经相信它可以保护您最敏感的访问，您可以重复使用它来提供较低的访问权限。相同的令牌可以与您的“管理员”帐户、“常规”帐户和低级“测试系统”帐户相关联。用户有责任针对这种情况使用适当的帐户。

重要的是要了解令牌与您的身份相关联，而不是与您的权限级别相关联。令牌本身并不授予管理员权限。该令牌与您和您的帐户相关联，并且您的帐户在 admin 用户组中的成员资格授予管理员权限。

需要多个令牌的地方是两个不同的组织授予访问权限，而这两个组织彼此不了解、不交谈或不信任。您可能有供应商颁发的令牌来访问供应商的站点，如果您没有与他们签订联合登录协议，那么我可以理解发布第二个令牌。但是没有什么理由让你的用户携带大约 8 种不同的代币，并且有很多理由不这样做 - 每个代币的成本和用户混淆（我将这三个相同的代币中的哪一个用于实验室帐户？）

...对于每个环境

根据每个环境的安全要求，（test、dev、qa、prod）应该有一个单独的令牌。这可以防止 QA 测试脚本“泄漏”到生产中并影响服务的操作问题。

...对于每个角色

令牌应根据其对操作带来的风险是唯一的：（域管理员、CA 管理员）。

...每次登录多个令牌

我从未在生产中看到过这种情况，但可以想象有人被要求输入用户名、密码、HTOP 密码和 Yubikey 密码的场景。

..as 适合安全需要

我认为根本没有多因素设备与只有一个分配的令牌之间存在中间立场。具体来说，一旦 IT 安全性阻碍了系统的可用性，用户就会想办法绕过它。 这是一个用户，他正在使用摄像机远程自动化他的 RSA 密钥卡挑战。

如果用户正在使用这种技术，或者只是使用指向令牌的网络摄像头，那么找出原因可能是个好主意。如果是为了减少物理钥匙串膨胀，或者因为他们可能会丢失它，那么也许向该用户发放多个令牌可以解决这个问题。例如; 一个YubiKey纳米可以插入到一个家庭和工作电脑。由于 nano 很难移除，因此也有一个便携式 USB 令牌可能是有意义的。

安全性比每人一个代币模型稍微稀释了一点，但与根本没有任何多因素相去甚远。在这种情况下，攻击的表面积会减少，因此随机无令牌会话将被拒绝。