使用一次性密碼（OTP）作為身份驗(yàn)證的第二個(gè)因素的驗(yàn)證方法越來(lái)越普及，但是一些安全專(zhuān)家警告說(shuō)，如果這些密碼沒(méi)有得到良好部署，可能會(huì)讓企業(yè)比完全沒(méi)有使用一次性密碼的企業(yè)更加不安全，一些批評(píng)家將Facebook部署一次性密碼作為典型的例子。

Facebook近日向用戶(hù)宣布，現(xiàn)在他們可以使用移動(dòng)電話(huà)來(lái)通過(guò)短信接收一次性密碼，可以使用一次性密碼在20分鐘中內(nèi)登錄他們的帳戶(hù)，用戶(hù)可以在他們不信任的計(jì)算機(jī)上考慮使用這種密碼登錄。

“可以說(shuō)，F(xiàn)acebook的這個(gè)方法讓用戶(hù)的帳號(hào)更加不安全了。如果你離開(kāi)你的電腦或者當(dāng)?shù)卿浀紽acebook時(shí)，沒(méi)有鎖上你的手機(jī)，其他人就可以訪(fǎng)問(wèn)你的帳戶(hù)，并且將手機(jī)更改為其他手機(jī)來(lái)控制，”Sophos公司的高級(jí)安全顧問(wèn)Chet Wisniewski表示，他還補(bǔ)充道，大部分人的手機(jī)都沒(méi)有啟用密碼保護(hù)，而手機(jī)又非常容易丟失?！艾F(xiàn)在我們可以隨時(shí)隨地遠(yuǎn)程訪(fǎng)問(wèn)網(wǎng)絡(luò)，F(xiàn)acebook認(rèn)為這個(gè)功能可以為在圖書(shū)館、網(wǎng)吧和機(jī)場(chǎng)的用戶(hù)提供‘安全’的方式來(lái)登錄帳戶(hù)，而不會(huì)讓你的信息暴露給可能安裝在這些計(jì)算機(jī)上的惡意軟件?！?/P>

根據(jù)RSA公司的產(chǎn)品營(yíng)銷(xiāo)經(jīng)理Rachael Stockton表示，并不是所有的一次性密碼都是以相同方法創(chuàng)建的。

“有的方法比其他方法更加安全。短信比其他驗(yàn)證方法更加容易被破解，”她表示，“硬件和軟件一次性密碼一般都被認(rèn)為比短信傳動(dòng)的一次性密碼更加安全，但是這些驗(yàn)證方法都應(yīng)該作為安全保護(hù)分層方法的一部分，包括基于風(fēng)險(xiǎn)的身份驗(yàn)證等?！?/P>

當(dāng)你在選擇適合的方法時(shí)，Stockton建議決策要點(diǎn)應(yīng)該放在必要的安全水平、需要保護(hù)的信息的價(jià)值、便于最終用戶(hù)使用以及一次性密碼形成因素的成本等。

部署一次性密碼的企業(yè)應(yīng)該考慮提供一個(gè)以上的OTP形成因素，她表示，“當(dāng)企業(yè)為不同的用戶(hù)群部署一次性密碼時(shí)，他們需要考慮提供多種選擇的身份驗(yàn)證形式和方法，畢竟不同用戶(hù)群要求各不相同，”Stockton表示，“短信獲取密碼可能對(duì)于某些用戶(hù)很便利，但對(duì)于那些手機(jī)經(jīng)常不在身邊的人就不便利了。此外，他們還需要考慮現(xiàn)在和將來(lái)，他們所需要支持的大量應(yīng)用程序，并且確保他們的解決方案能夠整合所有這些應(yīng)用程序。”

同時(shí)，不管選擇的是哪種一次性密碼或者企業(yè)的規(guī)模有多大，一次性密碼都只是確保機(jī)器和帳戶(hù)安全的保護(hù)生態(tài)系統(tǒng)的一部分，而不是全部。

“最后，不管公司是向大型還是小型企業(yè)部署一次性密碼，他們都需要部署擁有強(qiáng)大管理控制能力的系統(tǒng)，考慮到配置、管理、報(bào)告和審計(jì)這些重要業(yè)務(wù)資產(chǎn)的重要性，”Stockton表示。

Sophos公司的Wisniewski認(rèn)為，一次性密碼應(yīng)該能夠在更好的身份驗(yàn)證發(fā)展方面發(fā)揮重要的作用，但與此同時(shí)，大家也不能把它當(dāng)作是安全的靈丹妙藥。

“多因素身份驗(yàn)證是保護(hù)可信任計(jì)算機(jī)和安全地遠(yuǎn)程訪(fǎng)問(wèn)網(wǎng)絡(luò)的很棒的方法，”他表示，“多因素身份管理并不能解決所有問(wèn)題，但是能夠解決密碼被共享和被破解的問(wèn)題?！?/P>

與Stockton的意見(jiàn)一樣，他警告說(shuō)，一次性密碼和其他多因素身份驗(yàn)證的方法只有在不容易受到漏洞攻擊的系統(tǒng)中發(fā)揮強(qiáng)大的作用。

“多因素身份驗(yàn)證方法并不能解決數(shù)據(jù)盜竊惡意軟件將信息發(fā)送給網(wǎng)絡(luò)罪犯的問(wèn)題。如果你使用密碼的計(jì)算機(jī)已經(jīng)受到惡意軟件的感染，那么你是使用常用密碼登錄還是一次性密碼登錄都是一樣，”Wisniewski表示，“一旦計(jì)算機(jī)被攻擊，你可能可以通過(guò)使用一次性密碼來(lái)保護(hù)你的密碼，但是你訪(fǎng)問(wèn)或者輸入的所有數(shù)據(jù)都出于威脅之中。如果系統(tǒng)非常重要，而你需要遠(yuǎn)程訪(fǎng)問(wèn)該系統(tǒng)，并且你愿意部署額外的身份驗(yàn)證方法，那么被訪(fǎng)問(wèn)的數(shù)據(jù)可能太重要以至于不應(yīng)該冒著數(shù)據(jù)可能被惡意軟件截取的風(fēng)險(xiǎn)?！?/P>

【編輯推薦】

1. 企業(yè)數(shù)據(jù)丟失保護(hù)數(shù)據(jù)安全DLP技術(shù)解決方案
2. 內(nèi)部泄密對(duì)企業(yè)數(shù)據(jù)安全構(gòu)成最大威脅