大家都知道用戶名和密碼這樣的身份驗證方式不是特別的安全，相對于一些你知道和擁有的身份驗證方式來說，一些有安全意識的管理員更希望使用強雙因素身份驗證（2FA）。但如果要使用2FA系統(tǒng)，則需要一個硬件令牌。象這樣基于令牌的系統(tǒng)，通常是一個會顯示一次性密碼的設(shè)備，而用戶必須把密碼做為身份驗證的一部分提供給系統(tǒng)進行驗證，這樣的系統(tǒng)在實施和維護的時候需要許多的資源和精力。

這種令牌對大多數(shù)用戶來說很昂貴，而且不便于企業(yè)外的用戶管理，比如顧客和合同制員工。這是因為為了要使用這些設(shè)備，公司必須先采購硬件令牌，把它們配置好（以便隨時使用），并且還要教用戶它們的物理保護和使用方法，處理粗心用戶丟失他們設(shè)備的問題。

但是最近在雙因素身份驗證上的一個創(chuàng)新可以緩解這些問題：無令牌雙因素身份驗證（T2FA）。T2FA不使用專用的硬件設(shè)備來傳遞一次性密碼，相反，它使用用戶已經(jīng)擁有的并且很熟悉的設(shè)備，可以是用戶的移動電話、家用電話、傳真機、上網(wǎng)本或筆記本電腦、掌上電腦、智能手機或任何其他通訊設(shè)備。

無令牌雙因素身份驗證入門

為了使用T2FA服務(wù)，用戶需要注冊該服務(wù)，這可以通過一種自助式應(yīng)用程序或Web門戶網(wǎng)站完成。首先，用戶根據(jù)T2FA服務(wù)管理員的要求輸入他（或她）的個人信息以及其他附加數(shù)據(jù)來開始他（或她）的注冊過程。在確認了用戶的身份之后，組織可以根據(jù)他（或她）的角色或他（或她）希望訪問的信息來驗證用戶是否需要高強度的身份驗證。

如果用戶需要高強度的身份驗證服務(wù)，應(yīng)用程序會要求用戶輸入他（或她）首選的通訊渠道信息，比如移動電話，這樣就可以通過手機給他們發(fā)送密碼。由于T2FA系統(tǒng)不需要用戶在設(shè)備上安裝任何軟件，這就意味著通過T2FA實現(xiàn)的高強度身份驗證與眾多終端用戶設(shè)備是兼容的，因此可以為公司在管理費用、用戶培訓以及技術(shù)支持上節(jié)約開銷。

在成功完成注冊流程后，每當用戶使用用戶名密碼方式進行身份驗證時，一次性密碼會實時地通過短信、電話交互式語音應(yīng)答（IVR）、傳真或電子郵件服務(wù)自動發(fā)送到用戶的首選通訊設(shè)備上。組織也可以選擇另一個方案，即預(yù)先發(fā)送一次性密碼到用戶設(shè)備上，這樣可以解決由網(wǎng)絡(luò)延時造成的短消息延時和網(wǎng)絡(luò)覆蓋損失，比如，如果用戶在一幢沒有手機信號覆蓋的大樓里工作，用戶可以把這個預(yù)先發(fā)送的密碼輸入給系統(tǒng)驗證服務(wù)來進行身份驗證。這樣的方案允許公司通過終端用戶自己擁有并操作的設(shè)備而不是公司提供的設(shè)備，來使用高強度憑證驗證用戶的身份。

未來認證：雙因素認證 vs 無令牌雙因素認證

那么這難道意味著2FA正在走向滅亡嗎？不是，在組織內(nèi)部，這兩種保護機制都有發(fā)展的空間。但在組織中，要根據(jù)使用者的角色和他（或她）的訪問需求來決定使用的機制。對于那些需要頻繁訪問不同應(yīng)用程序和門戶網(wǎng)站（需要強身份認證）的用戶來說，如IT管理員或系統(tǒng)工程師、全職遠程員工、出差的員工、商業(yè)人士、醫(yī)務(wù)專業(yè)人員和其它人員，如果通過他們自己的設(shè)備來等待接收密碼，可能會太復雜或過于費時。但對于偶爾使用的用戶來說，如合同制員工、顧客或一個因意外事件或壞天氣而在家工作的員工，T2FA是一個更好的選擇。

還有另一種情況，跨越經(jīng)常使用和偶爾使用的用戶的界限：就是員工使用虛擬終端服務(wù)的情況，“終端服務(wù)”是微軟的瘦客戶端終端服務(wù)器的實例，其中的應(yīng)用程序或者整個電腦桌面，都可以通過一個遠程客戶機來訪問。其它的選擇方案包括Citrix系統(tǒng)公司的GoToMyPc和賽門鐵克公司的pcAnywhere。這些服務(wù)變得越來越流行，因為很多公司合同雇傭第三方來遠程開發(fā)和維護應(yīng)用程序、服務(wù)器以及網(wǎng)絡(luò)設(shè)備。由于和終端服務(wù)相關(guān)聯(lián)的權(quán)限很大，而且事實上，一旦通過了身份驗證，用戶就可以訪問敏感的內(nèi)部應(yīng)用程序和數(shù)據(jù)，因此需要使用高強度身份驗證服務(wù)來保證它們的安全。通過使用T2FA，遠程員工只需要通過手機接收密碼短信，就可以在登陸到終端服務(wù)的時候，確保他們是被授權(quán)訪問公司內(nèi)部資源的。

那么T2FA存在的問題是什么呢？那就是，當使用電話和掌上電腦的時候，T2FA服務(wù)只有在每個移動設(shè)備的網(wǎng)絡(luò)覆蓋情況良好時才能正常工作。此外，為了接收到密碼，象手機這樣的設(shè)備必須有電而且可以正常運行。而且，手機上的服務(wù)并不都是免費的，使用頻率高的用戶可能因為在手機或掌上電話上請求密碼而很快用完短信費用。由于公司并不管理終端用戶的設(shè)備，所以它必須創(chuàng)建可以允許用戶修改指定首選通訊渠道的應(yīng)用程序或服務(wù)，有時候這種情況特別多，尤其是在用戶無法訪問他（或她）的普通設(shè)備的時候。組織還應(yīng)該牢記這點，電話和一次性密碼設(shè)備等并不只是在公司內(nèi)部使用，而是隨著用戶到他們的家里、購物中心、海灘或是其它一些地方。由于存在潛在的丟失風險，組織必須創(chuàng)建和培訓關(guān)于報告丟失和轉(zhuǎn)移這些設(shè)備服務(wù)的流程。

因此，盡管部署T2FA存在挑戰(zhàn)，能夠在組織內(nèi)部混合使用2FA和T2FA意味著為了滿足特定需求、預(yù)算和工作模式，高強度認證要求可以進行定制。對于那些不具備支持一種或兩種高強度身份驗證方式技術(shù)或基礎(chǔ)設(shè)施的組織來說，廠商也可以向他們提供了主機托管服務(wù)，如Signafy公司、Positive網(wǎng)絡(luò)公司和Authentify公司。使用基于云技術(shù)的服務(wù)意味著組織可以享受兩個方案的好處，并根據(jù)特定用戶的需求來選擇合適的身份驗證。但最終，除了降低管理硬件令牌所需的成本和時間外，隨著創(chuàng)新商業(yè)模式對聯(lián)合勞工和設(shè)施進行遠程工作的需求的增加，對T2FA的需求也會增加。

【編輯推薦】

1. ASP.NET安全身份驗證的實現(xiàn)
2. 身份認證是整個信息安全體系的基礎(chǔ)