越來(lái)越多的跡象表明，使用單一密碼認(rèn)證的系統(tǒng)是注定要出問(wèn)題的。Verizon在其2013年數(shù)據(jù)泄露調(diào)查報(bào)告中指出，使用非單一用戶密碼認(rèn)證機(jī)制在去年可以抵御80%的攻擊。但是，許多企業(yè)仍然沒(méi)有使用多重身份認(rèn)證。為此，我們了解一下什么是雙重身份認(rèn)證：技術(shù)供應(yīng)商提供的方法，以及企業(yè)如何用它實(shí)現(xiàn)一個(gè)全面企業(yè)安全戰(zhàn)略，從而實(shí)現(xiàn)一個(gè)可靠的業(yè)務(wù)案例。

雖然許多供應(yīng)商推出了相似的技術(shù)，但是它們均有各自的優(yōu)點(diǎn)和缺點(diǎn)。例如，有成熟產(chǎn)品的供應(yīng)商可能使用一些私有驗(yàn)證方法和軟件開發(fā)套件（SDK），它可能插入到企業(yè)應(yīng)用程序或供應(yīng)商應(yīng)用程序中。其他供應(yīng)商可能關(guān)注于一種或多種廣泛應(yīng)用的身份認(rèn)證方法，如一次生密碼（OTP）令牌和編外(OOB)身份認(rèn)證方法。

雙重認(rèn)證用例

企業(yè)IT系統(tǒng)為特定的用戶提供特殊功能；系統(tǒng)管理員執(zhí)行的任務(wù)不同于安全分析師或財(cái)務(wù)分析師的任務(wù)。身份認(rèn)證是一個(gè)重要的業(yè)務(wù)過(guò)程，它負(fù)責(zé)將用戶關(guān)聯(lián)到應(yīng)用程序和其他資源，而不會(huì)向未授權(quán)的用戶暴露數(shù)據(jù)與過(guò)程。

在現(xiàn)在云計(jì)算的復(fù)雜環(huán)境中，企業(yè)應(yīng)該采用雙重身份認(rèn)證方法支持一個(gè)或多個(gè)用例，才能更好地保護(hù)企業(yè)資產(chǎn)和業(yè)務(wù)數(shù)據(jù)，阻止未授權(quán)訪問(wèn)。這些用例包括：

1. 內(nèi)部或本地訪問(wèn)：?jiǎn)T工訪問(wèn)關(guān)鍵業(yè)務(wù)或基于云的應(yīng)用程序，以及/或者管理員訪問(wèn)企業(yè)服務(wù)器和網(wǎng)絡(luò)設(shè)備。

2. 外部或遠(yuǎn)程訪問(wèn)：遠(yuǎn)程或移動(dòng)員工通過(guò)VPN或Portal訪問(wèn)企業(yè)后臺(tái)系統(tǒng)。

3. 常用網(wǎng)絡(luò)入口：在公共網(wǎng)絡(luò)/互聯(lián)網(wǎng)和內(nèi)部企業(yè)網(wǎng)絡(luò)之間，使用安全訪問(wèn)機(jī)制訪問(wèn)企業(yè)服務(wù)，如電子郵件或VPN。#p#

雙重認(rèn)證方法

近幾年來(lái)，雙重認(rèn)證（雙重認(rèn)證）逐漸成熟，而且技術(shù)成本也顯著降低。雖然這項(xiàng)技術(shù)仍然在發(fā)展和改進(jìn)，但是現(xiàn)在員工不需要復(fù)雜設(shè)備就能夠很方便地使用這些技術(shù)。每一位員工的日常移動(dòng)設(shè)備是第二種認(rèn)證手段來(lái)生成安全認(rèn)證代碼，不需要使用令牌，就可以保護(hù)企業(yè)資產(chǎn)不受攻擊。

一些主流雙重認(rèn)證供應(yīng)商都提供了功能強(qiáng)大的成熟技術(shù)方法和各種可靠的企業(yè)用例，如Entrust、RSA、SafeNet和Symantec。

RSA是EMC的安全分部，它有知名的RSA SecureID一次性密碼硬件和基于軟件的令牌技術(shù)。此外，它還提供了自適應(yīng)身份驗(yàn)證，大型企業(yè)可以通過(guò)它使用與環(huán)境相關(guān)的身份驗(yàn)證/自適應(yīng)訪問(wèn)控制功能。另一個(gè)方法是身份驗(yàn)證，這是一個(gè)托管服務(wù)，它基于最終用戶的生活歷史問(wèn)題來(lái)驗(yàn)證身份，并且使用交互式用戶驗(yàn)證流程。它的大多數(shù)競(jìng)爭(zhēng)對(duì)手都有相似的產(chǎn)品。

雙重認(rèn)證的實(shí)現(xiàn)成本受實(shí)際應(yīng)用場(chǎng)景的影響。例如，行業(yè)領(lǐng)域、企業(yè)規(guī)模、使用模式、用戶位置、幫助臺(tái)在線狀態(tài)和業(yè)務(wù)或數(shù)據(jù)敏感度等，大型金融與零售領(lǐng)域的實(shí)現(xiàn)成本大約在65,000美元至2百萬(wàn)美元之間。

PhoneFactor（已被微軟收購(gòu)）新近推出了一個(gè)可靠的雙重認(rèn)證產(chǎn)品。PhoneFactor使用用戶的電話替代令牌或其他專用的雙重認(rèn)證設(shè)備，它方便用戶使用，也是一個(gè)適合企業(yè)使用且經(jīng)濟(jì)的安全平臺(tái)。在身份認(rèn)證的第一步中，用戶必須輸入用戶名和密碼。第二步，用戶可以選擇下面的一種方法：a) PhoneFactor呼叫用戶，用戶按電話#鍵回復(fù)，b) PhoneFactor給用戶發(fā)送一條包含驗(yàn)證碼的短信，然后用戶通過(guò)短信回復(fù)驗(yàn)證碼，c) PhoneFactor給用戶智能手機(jī)上安裝的PhoneFactor應(yīng)用推送一條通知，然后用戶在應(yīng)用上觸碰“認(rèn)證”完成認(rèn)證過(guò)程。這個(gè)供應(yīng)商給小型組織（最多25個(gè)用戶）提供了一個(gè)免費(fèi)版本。#p#

選擇雙重認(rèn)證產(chǎn)品時(shí)要考慮的問(wèn)題

雙重認(rèn)證技術(shù)可以幫助企業(yè)保護(hù)用戶身份信息，降低企業(yè)環(huán)境中未授權(quán)訪問(wèn)和盜取身份信息的概率。此外，它也能夠幫助企業(yè)符合法規(guī)標(biāo)準(zhǔn)和滿足合規(guī)性要求。例如，PCI DSS 8.3規(guī)定：“員工、管理和第三方組織遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)都必須使用雙重認(rèn)證。”

并非所有企業(yè)都必須符合PCI規(guī)范，但是PCI DSS被認(rèn)為是一種基本要求，所以如果一些組織還沒(méi)有應(yīng)用雙重認(rèn)證策略，那么最好現(xiàn)在開始啟動(dòng)這個(gè)過(guò)程，當(dāng)然先要評(píng)估供應(yīng)商的技術(shù)。

在確定雙重認(rèn)證需求并開始規(guī)劃項(xiàng)目時(shí)，組織應(yīng)該考慮下面所列的建議：

◆理解企業(yè)IT環(huán)境——包括理解企業(yè)內(nèi)部或外部用于訪問(wèn)信息或數(shù)據(jù)的技術(shù)，以及了解IT政策的應(yīng)用方式和所采取的保護(hù)措施。例如，員工是否可以通過(guò)移動(dòng)設(shè)備訪問(wèn)企業(yè)信息？或者，企業(yè)是否使用SaaS提供商托管的SaaS應(yīng)用程序，以及這個(gè)SaaS提供商是否支持雙重認(rèn)證數(shù)據(jù)保護(hù)機(jī)制。

◆尋找目標(biāo)用戶——雙重認(rèn)證是否只應(yīng)用于特定的業(yè)務(wù)部門，如銷售或營(yíng)銷部門，或者也應(yīng)用于遠(yuǎn)程作業(yè)和合作伙伴？一般而言，大多數(shù)組織只為VPN訪問(wèn)提供雙重認(rèn)證。要將實(shí)現(xiàn)范圍限制在一些特定的用例上，至少是在早期階段。

◆采用有利于控制風(fēng)險(xiǎn)的方法——有利于降低風(fēng)險(xiǎn)的技術(shù)，現(xiàn)在大多數(shù)組織都會(huì)選擇。所以，當(dāng)目標(biāo)用戶范圍不明確時(shí)，只為那些訪問(wèn)關(guān)鍵業(yè)務(wù)信息或知識(shí)產(chǎn)權(quán)的用戶提供雙重認(rèn)證，不論戶是員工還是第三方人員，是從企業(yè)網(wǎng)絡(luò)還是從遠(yuǎn)程位置訪問(wèn)這些信息。

◆避免不必要的開支和復(fù)雜性?——供應(yīng)商不同，企業(yè)需求和規(guī)模不同，實(shí)現(xiàn)的總成本也不同。在確定成本時(shí)，要考慮用戶數(shù)量、辦公位置、企業(yè)的全球分布及支持與幫助臺(tái)覆蓋情況。#p#

實(shí)現(xiàn)雙重認(rèn)證的挑戰(zhàn)

雙重認(rèn)證并不容易實(shí)現(xiàn)。例如，安全公司Duo Security最近報(bào)告了谷歌雙重登錄流程的一個(gè)嚴(yán)重問(wèn)題。這個(gè)問(wèn)題很快被修復(fù)，它源于谷歌在許多服務(wù)上使用的一個(gè)特性。盡管谷歌是一個(gè)互聯(lián)網(wǎng)巨頭，有非常先進(jìn)的技術(shù)，但是它的實(shí)現(xiàn)也仍然會(huì)出現(xiàn)問(wèn)題。

一定要知道，在任何組織中，大范圍部署雙重認(rèn)證都是一項(xiàng)非常復(fù)雜的任務(wù)。但是雖然實(shí)現(xiàn)一個(gè)覆蓋整個(gè)基礎(chǔ)架構(gòu)安全雙重認(rèn)證平臺(tái)會(huì)遇到一些困難，但是事先了解可能出現(xiàn)的問(wèn)題將有利于減小出現(xiàn)問(wèn)題的概率。

例如，遺留的軟件和服務(wù)必須經(jīng)常為了雙重認(rèn)證重新調(diào)整，或者需要一個(gè)身份認(rèn)證框架用于不同的內(nèi)部或外部工具，才能在整個(gè)企業(yè)范圍支持雙重認(rèn)證。有時(shí)候，雙重認(rèn)證框架的選擇需要很多的定制，這往往要在軟件架構(gòu)真正開始實(shí)施整合時(shí)才能夠確定。

雙重認(rèn)證也很可能會(huì)影響用戶體驗(yàn)。他們可能認(rèn)為，每次登錄時(shí)都帶一個(gè)可信設(shè)備或硬件是很麻煩的事情。所以，一些需要頻繁訪問(wèn)的系統(tǒng)認(rèn)證上，要允許用戶選擇跳過(guò)雙重認(rèn)證。

雙重認(rèn)證實(shí)現(xiàn)遇到的一些困難和問(wèn)題，可以通過(guò)下面這些方法處理：

◆選擇一個(gè)符合企業(yè)需求的方式。這些方法包括基于硬件/軟件的令牌或者向智能手機(jī)發(fā)送短信（SMS）。地理位置集中的企業(yè)更愿意使用物理令牌，而工作場(chǎng)所不斷變化的企業(yè)則喜歡使用基于軟件的令牌或移動(dòng)方法。

◆考慮使用分階段方法。顯然，一次性在整個(gè)企業(yè)范圍實(shí)現(xiàn)可能會(huì)讓一部分人不適應(yīng)。同時(shí)，應(yīng)用與系統(tǒng)擁有者會(huì)發(fā)現(xiàn)一次性遷移更容易實(shí)現(xiàn)。但是，這對(duì)于最終用戶和幫助臺(tái)支持人員而言則完全相反，他們不得不在遷移過(guò)程提供支持和解決問(wèn)題。此外，這也會(huì)增加項(xiàng)目開支。

◆提供足夠的用戶支持。安裝和配置后臺(tái)服務(wù)器組件需要一定的時(shí)間，整合和測(cè)試應(yīng)用程序也需要時(shí)間。自助服務(wù)、足夠的培訓(xùn)和人員完備的幫助與支持團(tuán)隊(duì)，都是幫助用戶適應(yīng)這項(xiàng)技術(shù)并成功度過(guò)轉(zhuǎn)變時(shí)期的重要條件。

雙重認(rèn)證正成為現(xiàn)代企業(yè)IT安全項(xiàng)目的重要組成，但是它在理解、實(shí)現(xiàn)和管理上有一定的復(fù)雜性和難度。組織必須認(rèn)識(shí)到，只使用密碼的傳統(tǒng)認(rèn)證機(jī)制本身不夠可靠，可能無(wú)法再提供足夠的安全控制。在現(xiàn)在充滿威脅的環(huán)境中，必須應(yīng)用雙重認(rèn)證，才能防止未授權(quán)用戶訪問(wèn)重要企業(yè)系統(tǒng)，同時(shí)阻擋源源不斷的危險(xiǎn)攻擊者。