越來越多的跡象表明，使用單一密碼認證的系統(tǒng)是注定要出問題的。Verizon在其2013年數(shù)據泄露調查報告中指出，使用非單一用戶密碼認證機制在去年可以抵御80%的攻擊。但是，許多企業(yè)仍然沒有使用多重身份認證。為此，我們了解一下什么是雙重身份認證：技術供應商提供的方法，以及企業(yè)如何用它實現(xiàn)一個全面企業(yè)安全戰(zhàn)略，從而實現(xiàn)一個可靠的業(yè)務案例。

雖然許多供應商推出了相似的技術，但是它們均有各自的優(yōu)點和缺點。例如，有成熟產品的供應商可能使用一些私有驗證方法和軟件開發(fā)套件（SDK），它可能插入到企業(yè)應用程序或供應商應用程序中。其他供應商可能關注于一種或多種廣泛應用的身份認證方法，如一次生密碼（OTP）令牌和編外(OOB)身份認證方法。

雙重認證用例

企業(yè)IT系統(tǒng)為特定的用戶提供特殊功能；系統(tǒng)管理員執(zhí)行的任務不同于安全分析師或財務分析師的任務。身份認證是一個重要的業(yè)務過程，它負責將用戶關聯(lián)到應用程序和其他資源，而不會向未授權的用戶暴露數(shù)據與過程。

在現(xiàn)在云計算的復雜環(huán)境中，企業(yè)應該采用雙重身份認證方法支持一個或多個用例，才能更好地保護企業(yè)資產和業(yè)務數(shù)據，阻止未授權訪問。這些用例包括：

1. 內部或本地訪問：員工訪問關鍵業(yè)務或基于云的應用程序，以及/或者管理員訪問企業(yè)服務器和網絡設備。

2. 外部或遠程訪問：遠程或移動員工通過VPN或Portal訪問企業(yè)后臺系統(tǒng)。

3. 常用網絡入口：在公共網絡/互聯(lián)網和內部企業(yè)網絡之間，使用安全訪問機制訪問企業(yè)服務，如電子郵件或VPN。#p#

雙重認證方法

近幾年來，雙重認證（雙重認證）逐漸成熟，而且技術成本也顯著降低。雖然這項技術仍然在發(fā)展和改進，但是現(xiàn)在員工不需要復雜設備就能夠很方便地使用這些技術。每一位員工的日常移動設備是第二種認證手段來生成安全認證代碼，不需要使用令牌，就可以保護企業(yè)資產不受攻擊。

一些主流雙重認證供應商都提供了功能強大的成熟技術方法和各種可靠的企業(yè)用例，如Entrust、RSA、SafeNet和Symantec。

RSA是EMC的安全分部，它有知名的RSA SecureID一次性密碼硬件和基于軟件的令牌技術。此外，它還提供了自適應身份驗證，大型企業(yè)可以通過它使用與環(huán)境相關的身份驗證/自適應訪問控制功能。另一個方法是身份驗證，這是一個托管服務，它基于最終用戶的生活歷史問題來驗證身份，并且使用交互式用戶驗證流程。它的大多數(shù)競爭對手都有相似的產品。

雙重認證的實現(xiàn)成本受實際應用場景的影響。例如，行業(yè)領域、企業(yè)規(guī)模、使用模式、用戶位置、幫助臺在線狀態(tài)和業(yè)務或數(shù)據敏感度等，大型金融與零售領域的實現(xiàn)成本大約在65,000美元至2百萬美元之間。

PhoneFactor（已被微軟收購）新近推出了一個可靠的雙重認證產品。PhoneFactor使用用戶的電話替代令牌或其他專用的雙重認證設備，它方便用戶使用，也是一個適合企業(yè)使用且經濟的安全平臺。在身份認證的第一步中，用戶必須輸入用戶名和密碼。第二步，用戶可以選擇下面的一種方法：a) PhoneFactor呼叫用戶，用戶按電話#鍵回復，b) PhoneFactor給用戶發(fā)送一條包含驗證碼的短信，然后用戶通過短信回復驗證碼，c) PhoneFactor給用戶智能手機上安裝的PhoneFactor應用推送一條通知，然后用戶在應用上觸碰“認證”完成認證過程。這個供應商給小型組織（最多25個用戶）提供了一個免費版本。#p#

選擇雙重認證產品時要考慮的問題

雙重認證技術可以幫助企業(yè)保護用戶身份信息，降低企業(yè)環(huán)境中未授權訪問和盜取身份信息的概率。此外，它也能夠幫助企業(yè)符合法規(guī)標準和滿足合規(guī)性要求。例如，PCI DSS 8.3規(guī)定：“員工、管理和第三方組織遠程訪問網絡都必須使用雙重認證。”

并非所有企業(yè)都必須符合PCI規(guī)范，但是PCI DSS被認為是一種基本要求，所以如果一些組織還沒有應用雙重認證策略，那么最好現(xiàn)在開始啟動這個過程，當然先要評估供應商的技術。

在確定雙重認證需求并開始規(guī)劃項目時，組織應該考慮下面所列的建議：

◆理解企業(yè)IT環(huán)境——包括理解企業(yè)內部或外部用于訪問信息或數(shù)據的技術，以及了解IT政策的應用方式和所采取的保護措施。例如，員工是否可以通過移動設備訪問企業(yè)信息？或者，企業(yè)是否使用SaaS提供商托管的SaaS應用程序，以及這個SaaS提供商是否支持雙重認證數(shù)據保護機制。

◆尋找目標用戶——雙重認證是否只應用于特定的業(yè)務部門，如銷售或營銷部門，或者也應用于遠程作業(yè)和合作伙伴？一般而言，大多數(shù)組織只為VPN訪問提供雙重認證。要將實現(xiàn)范圍限制在一些特定的用例上，至少是在早期階段。

◆采用有利于控制風險的方法——有利于降低風險的技術，現(xiàn)在大多數(shù)組織都會選擇。所以，當目標用戶范圍不明確時，只為那些訪問關鍵業(yè)務信息或知識產權的用戶提供雙重認證，不論戶是員工還是第三方人員，是從企業(yè)網絡還是從遠程位置訪問這些信息。

◆避免不必要的開支和復雜性?——供應商不同，企業(yè)需求和規(guī)模不同，實現(xiàn)的總成本也不同。在確定成本時，要考慮用戶數(shù)量、辦公位置、企業(yè)的全球分布及支持與幫助臺覆蓋情況。#p#

實現(xiàn)雙重認證的挑戰(zhàn)

雙重認證并不容易實現(xiàn)。例如，安全公司Duo Security最近報告了谷歌雙重登錄流程的一個嚴重問題。這個問題很快被修復，它源于谷歌在許多服務上使用的一個特性。盡管谷歌是一個互聯(lián)網巨頭，有非常先進的技術，但是它的實現(xiàn)也仍然會出現(xiàn)問題。

一定要知道，在任何組織中，大范圍部署雙重認證都是一項非常復雜的任務。但是雖然實現(xiàn)一個覆蓋整個基礎架構安全雙重認證平臺會遇到一些困難，但是事先了解可能出現(xiàn)的問題將有利于減小出現(xiàn)問題的概率。

例如，遺留的軟件和服務必須經常為了雙重認證重新調整，或者需要一個身份認證框架用于不同的內部或外部工具，才能在整個企業(yè)范圍支持雙重認證。有時候，雙重認證框架的選擇需要很多的定制，這往往要在軟件架構真正開始實施整合時才能夠確定。

雙重認證也很可能會影響用戶體驗。他們可能認為，每次登錄時都帶一個可信設備或硬件是很麻煩的事情。所以，一些需要頻繁訪問的系統(tǒng)認證上，要允許用戶選擇跳過雙重認證。

雙重認證實現(xiàn)遇到的一些困難和問題，可以通過下面這些方法處理：

◆選擇一個符合企業(yè)需求的方式。這些方法包括基于硬件/軟件的令牌或者向智能手機發(fā)送短信（SMS）。地理位置集中的企業(yè)更愿意使用物理令牌，而工作場所不斷變化的企業(yè)則喜歡使用基于軟件的令牌或移動方法。

◆考慮使用分階段方法。顯然，一次性在整個企業(yè)范圍實現(xiàn)可能會讓一部分人不適應。同時，應用與系統(tǒng)擁有者會發(fā)現(xiàn)一次性遷移更容易實現(xiàn)。但是，這對于最終用戶和幫助臺支持人員而言則完全相反，他們不得不在遷移過程提供支持和解決問題。此外，這也會增加項目開支。

◆提供足夠的用戶支持。安裝和配置后臺服務器組件需要一定的時間，整合和測試應用程序也需要時間。自助服務、足夠的培訓和人員完備的幫助與支持團隊，都是幫助用戶適應這項技術并成功度過轉變時期的重要條件。

雙重認證正成為現(xiàn)代企業(yè)IT安全項目的重要組成，但是它在理解、實現(xiàn)和管理上有一定的復雜性和難度。組織必須認識到，只使用密碼的傳統(tǒng)認證機制本身不夠可靠，可能無法再提供足夠的安全控制。在現(xiàn)在充滿威脅的環(huán)境中，必須應用雙重認證，才能防止未授權用戶訪問重要企業(yè)系統(tǒng)，同時阻擋源源不斷的危險攻擊者。