越來越多的跡象表明，使用單一密碼認證的系統(tǒng)是注定要出問題的。Verizon在其2013年數(shù)據(jù)泄露調(diào)查報告中指出，使用非單一用戶密碼認證機制在去年可以抵御80%的攻擊。但是，許多企業(yè)仍然沒有使用多重身份認證。為此，我們了解一下什么是雙重身份認證：技術(shù)供應(yīng)商提供的方法，以及企業(yè)如何用它實現(xiàn)一個全面企業(yè)安全戰(zhàn)略，從而實現(xiàn)一個可靠的業(yè)務(wù)案例。

雖然許多供應(yīng)商推出了相似的技術(shù)，但是它們均有各自的優(yōu)點和缺點。例如，有成熟產(chǎn)品的供應(yīng)商可能使用一些私有驗證方法和軟件開發(fā)套件（SDK），它可能插入到企業(yè)應(yīng)用程序或供應(yīng)商應(yīng)用程序中。其他供應(yīng)商可能關(guān)注于一種或多種廣泛應(yīng)用的身份認證方法，如一次生密碼（OTP）令牌和編外(OOB)身份認證方法。

雙重認證用例

企業(yè)IT系統(tǒng)為特定的用戶提供特殊功能；系統(tǒng)管理員執(zhí)行的任務(wù)不同于安全分析師或財務(wù)分析師的任務(wù)。身份認證是一個重要的業(yè)務(wù)過程，它負責將用戶關(guān)聯(lián)到應(yīng)用程序和其他資源，而不會向未授權(quán)的用戶暴露數(shù)據(jù)與過程。

在現(xiàn)在云計算的復(fù)雜環(huán)境中，企業(yè)應(yīng)該采用雙重身份認證方法支持一個或多個用例，才能更好地保護企業(yè)資產(chǎn)和業(yè)務(wù)數(shù)據(jù)，阻止未授權(quán)訪問。這些用例包括：

1. 內(nèi)部或本地訪問：員工訪問關(guān)鍵業(yè)務(wù)或基于云的應(yīng)用程序，以及/或者管理員訪問企業(yè)服務(wù)器和網(wǎng)絡(luò)設(shè)備。

2. 外部或遠程訪問：遠程或移動員工通過VPN或Portal訪問企業(yè)后臺系統(tǒng)。

3. 常用網(wǎng)絡(luò)入口：在公共網(wǎng)絡(luò)/互聯(lián)網(wǎng)和內(nèi)部企業(yè)網(wǎng)絡(luò)之間，使用安全訪問機制訪問企業(yè)服務(wù)，如電子郵件或VPN。#p#

雙重認證方法

近幾年來，雙重認證（雙重認證）逐漸成熟，而且技術(shù)成本也顯著降低。雖然這項技術(shù)仍然在發(fā)展和改進，但是現(xiàn)在員工不需要復(fù)雜設(shè)備就能夠很方便地使用這些技術(shù)。每一位員工的日常移動設(shè)備是第二種認證手段來生成安全認證代碼，不需要使用令牌，就可以保護企業(yè)資產(chǎn)不受攻擊。

一些主流雙重認證供應(yīng)商都提供了功能強大的成熟技術(shù)方法和各種可靠的企業(yè)用例，如Entrust、RSA、SafeNet和Symantec。

RSA是EMC的安全分部，它有知名的RSA SecureID一次性密碼硬件和基于軟件的令牌技術(shù)。此外，它還提供了自適應(yīng)身份驗證，大型企業(yè)可以通過它使用與環(huán)境相關(guān)的身份驗證/自適應(yīng)訪問控制功能。另一個方法是身份驗證，這是一個托管服務(wù)，它基于最終用戶的生活歷史問題來驗證身份，并且使用交互式用戶驗證流程。它的大多數(shù)競爭對手都有相似的產(chǎn)品。

雙重認證的實現(xiàn)成本受實際應(yīng)用場景的影響。例如，行業(yè)領(lǐng)域、企業(yè)規(guī)模、使用模式、用戶位置、幫助臺在線狀態(tài)和業(yè)務(wù)或數(shù)據(jù)敏感度等，大型金融與零售領(lǐng)域的實現(xiàn)成本大約在65,000美元至2百萬美元之間。

PhoneFactor（已被微軟收購）新近推出了一個可靠的雙重認證產(chǎn)品。PhoneFactor使用用戶的電話替代令牌或其他專用的雙重認證設(shè)備，它方便用戶使用，也是一個適合企業(yè)使用且經(jīng)濟的安全平臺。在身份認證的第一步中，用戶必須輸入用戶名和密碼。第二步，用戶可以選擇下面的一種方法：a) PhoneFactor呼叫用戶，用戶按電話#鍵回復(fù)，b) PhoneFactor給用戶發(fā)送一條包含驗證碼的短信，然后用戶通過短信回復(fù)驗證碼，c) PhoneFactor給用戶智能手機上安裝的PhoneFactor應(yīng)用推送一條通知，然后用戶在應(yīng)用上觸碰“認證”完成認證過程。這個供應(yīng)商給小型組織（最多25個用戶）提供了一個免費版本。#p#

選擇雙重認證產(chǎn)品時要考慮的問題

雙重認證技術(shù)可以幫助企業(yè)保護用戶身份信息，降低企業(yè)環(huán)境中未授權(quán)訪問和盜取身份信息的概率。此外，它也能夠幫助企業(yè)符合法規(guī)標準和滿足合規(guī)性要求。例如，PCI DSS 8.3規(guī)定：“員工、管理和第三方組織遠程訪問網(wǎng)絡(luò)都必須使用雙重認證。”

并非所有企業(yè)都必須符合PCI規(guī)范，但是PCI DSS被認為是一種基本要求，所以如果一些組織還沒有應(yīng)用雙重認證策略，那么最好現(xiàn)在開始啟動這個過程，當然先要評估供應(yīng)商的技術(shù)。

在確定雙重認證需求并開始規(guī)劃項目時，組織應(yīng)該考慮下面所列的建議：

◆理解企業(yè)IT環(huán)境——包括理解企業(yè)內(nèi)部或外部用于訪問信息或數(shù)據(jù)的技術(shù)，以及了解IT政策的應(yīng)用方式和所采取的保護措施。例如，員工是否可以通過移動設(shè)備訪問企業(yè)信息？或者，企業(yè)是否使用SaaS提供商托管的SaaS應(yīng)用程序，以及這個SaaS提供商是否支持雙重認證數(shù)據(jù)保護機制。

◆尋找目標用戶——雙重認證是否只應(yīng)用于特定的業(yè)務(wù)部門，如銷售或營銷部門，或者也應(yīng)用于遠程作業(yè)和合作伙伴？一般而言，大多數(shù)組織只為VPN訪問提供雙重認證。要將實現(xiàn)范圍限制在一些特定的用例上，至少是在早期階段。

◆采用有利于控制風(fēng)險的方法——有利于降低風(fēng)險的技術(shù)，現(xiàn)在大多數(shù)組織都會選擇。所以，當目標用戶范圍不明確時，只為那些訪問關(guān)鍵業(yè)務(wù)信息或知識產(chǎn)權(quán)的用戶提供雙重認證，不論戶是員工還是第三方人員，是從企業(yè)網(wǎng)絡(luò)還是從遠程位置訪問這些信息。

◆避免不必要的開支和復(fù)雜性?——供應(yīng)商不同，企業(yè)需求和規(guī)模不同，實現(xiàn)的總成本也不同。在確定成本時，要考慮用戶數(shù)量、辦公位置、企業(yè)的全球分布及支持與幫助臺覆蓋情況。#p#

實現(xiàn)雙重認證的挑戰(zhàn)

雙重認證并不容易實現(xiàn)。例如，安全公司Duo Security最近報告了谷歌雙重登錄流程的一個嚴重問題。這個問題很快被修復(fù)，它源于谷歌在許多服務(wù)上使用的一個特性。盡管谷歌是一個互聯(lián)網(wǎng)巨頭，有非常先進的技術(shù)，但是它的實現(xiàn)也仍然會出現(xiàn)問題。

一定要知道，在任何組織中，大范圍部署雙重認證都是一項非常復(fù)雜的任務(wù)。但是雖然實現(xiàn)一個覆蓋整個基礎(chǔ)架構(gòu)安全雙重認證平臺會遇到一些困難，但是事先了解可能出現(xiàn)的問題將有利于減小出現(xiàn)問題的概率。

例如，遺留的軟件和服務(wù)必須經(jīng)常為了雙重認證重新調(diào)整，或者需要一個身份認證框架用于不同的內(nèi)部或外部工具，才能在整個企業(yè)范圍支持雙重認證。有時候，雙重認證框架的選擇需要很多的定制，這往往要在軟件架構(gòu)真正開始實施整合時才能夠確定。

雙重認證也很可能會影響用戶體驗。他們可能認為，每次登錄時都帶一個可信設(shè)備或硬件是很麻煩的事情。所以，一些需要頻繁訪問的系統(tǒng)認證上，要允許用戶選擇跳過雙重認證。

雙重認證實現(xiàn)遇到的一些困難和問題，可以通過下面這些方法處理：

◆選擇一個符合企業(yè)需求的方式。這些方法包括基于硬件/軟件的令牌或者向智能手機發(fā)送短信（SMS）。地理位置集中的企業(yè)更愿意使用物理令牌，而工作場所不斷變化的企業(yè)則喜歡使用基于軟件的令牌或移動方法。

◆考慮使用分階段方法。顯然，一次性在整個企業(yè)范圍實現(xiàn)可能會讓一部分人不適應(yīng)。同時，應(yīng)用與系統(tǒng)擁有者會發(fā)現(xiàn)一次性遷移更容易實現(xiàn)。但是，這對于最終用戶和幫助臺支持人員而言則完全相反，他們不得不在遷移過程提供支持和解決問題。此外，這也會增加項目開支。

◆提供足夠的用戶支持。安裝和配置后臺服務(wù)器組件需要一定的時間，整合和測試應(yīng)用程序也需要時間。自助服務(wù)、足夠的培訓(xùn)和人員完備的幫助與支持團隊，都是幫助用戶適應(yīng)這項技術(shù)并成功度過轉(zhuǎn)變時期的重要條件。

雙重認證正成為現(xiàn)代企業(yè)IT安全項目的重要組成，但是它在理解、實現(xiàn)和管理上有一定的復(fù)雜性和難度。組織必須認識到，只使用密碼的傳統(tǒng)認證機制本身不夠可靠，可能無法再提供足夠的安全控制。在現(xiàn)在充滿威脅的環(huán)境中，必須應(yīng)用雙重認證，才能防止未授權(quán)用戶訪問重要企業(yè)系統(tǒng)，同時阻擋源源不斷的危險攻擊者。