雇員利用智能手機(jī)、平板電腦、上網(wǎng)本等移動(dòng)設(shè)備可以便捷地遠(yuǎn)程訪問(wèn)公司的計(jì)算資源。但移動(dòng)設(shè)備的使用有可能產(chǎn)生一些被攻擊者利用的漏洞或訪問(wèn)敏感信息的弱點(diǎn)，從而損害安全性。因而，對(duì)于移動(dòng)設(shè)備的遠(yuǎn)程訪問(wèn)，多數(shù)專家建議企業(yè)至少利用某種形式的雙重身份驗(yàn)證(雙重認(rèn)證)。

[[126983]]

雙重認(rèn)證無(wú)論對(duì)于用戶還是企業(yè)都是一個(gè)現(xiàn)實(shí)的難題，因?yàn)樗黾恿似髽I(yè)身份驗(yàn)證的復(fù)雜性。如果實(shí)施不力，雙重認(rèn)證未必比單重認(rèn)證強(qiáng)健很多，有時(shí)反而會(huì)耗費(fèi)更多的時(shí)間和資源。

下面將闡述為了設(shè)計(jì)、實(shí)施、部署可行且安全的移動(dòng)設(shè)備雙重認(rèn)證方案，企業(yè)IT需要注意的三大要領(lǐng)：

首先，企業(yè)要對(duì)所有的移動(dòng)設(shè)備尋求單一的解決方案。

不妨考慮一下用于工作場(chǎng)所的不同移動(dòng)設(shè)備類型;筆記本電腦、上網(wǎng)本、智能手機(jī)、平板電腦等，其品牌眾多，更別說(shuō)其中還分為企業(yè)發(fā)給員工的設(shè)備和員工個(gè)人自己帶來(lái)的(BYOD)。

有些用戶可能使用企業(yè)發(fā)的筆記本電腦，同時(shí)還帶著個(gè)人的平板電腦、智能手機(jī)等。要求這些用戶對(duì)每一種設(shè)備都使用不同的雙重驗(yàn)證是不現(xiàn)實(shí)的。不妨設(shè)想一下，員工需要帶著不同的加密令牌，還要記住幾個(gè)不同的口令或PIN，并且要記住哪些令牌和PIN適用于哪種設(shè)備。

為實(shí)現(xiàn)可用性，IT應(yīng)該針對(duì)所有移動(dòng)設(shè)備，考慮使用單一的遠(yuǎn)程認(rèn)證方案。企業(yè)自有的筆記本電腦可以例外，當(dāng)然，企業(yè)自有的這些設(shè)備最好是擁有內(nèi)置的雙重認(rèn)證功能(如智能卡或生物識(shí)別閱讀器)。如果企業(yè)能夠避免使用多種雙重認(rèn)證系統(tǒng)，那么操作處理將會(huì)更平滑。

其次，不要忘了移動(dòng)設(shè)備和網(wǎng)絡(luò)的安全性。

移動(dòng)設(shè)備(尤其是智能手機(jī)和平板電腦)一般都缺乏其它計(jì)算設(shè)備所擁有的安全特性。然而，許多雙重認(rèn)證方案主要依賴移動(dòng)設(shè)備的安全性來(lái)實(shí)現(xiàn)認(rèn)證的安全性。

例如，軟件加密令牌將共享密鑰或加密密鑰存儲(chǔ)在移動(dòng)設(shè)備上。在很多設(shè)備上，這種密鑰基本沒有得到防御惡意軟件或人為發(fā)現(xiàn)的保護(hù)。理想情況下，這種密鑰應(yīng)當(dāng)存儲(chǔ)在移動(dòng)設(shè)備中的可信任平臺(tái)模塊(TPM)內(nèi)部，但仍有一些移動(dòng)設(shè)備并不支持可信任平臺(tái)模塊(TPM)。因而，實(shí)施不依賴本地存儲(chǔ)的雙重認(rèn)證方法(例如，基于圖像的認(rèn)證)是明智之舉。

網(wǎng)絡(luò)安全是需要考慮的另一個(gè)問(wèn)題。我們一般都會(huì)想當(dāng)然地認(rèn)為手機(jī)網(wǎng)絡(luò)不會(huì)受到監(jiān)視，但攻擊者當(dāng)然有能力這樣做。這意味著以明文方式發(fā)送敏感信息的雙重認(rèn)證方法(如通過(guò)短消息發(fā)送的一次性口令)有可能將這種信息暴露給攻擊者。

企業(yè)應(yīng)考慮針對(duì)遠(yuǎn)程訪問(wèn)方法的威脅，如果有必要，要對(duì)通過(guò)移動(dòng)設(shè)備發(fā)送或接收的所有敏感信息進(jìn)行嚴(yán)格加密。

第三，防御蠻力攻擊和拒絕服務(wù)攻擊。

在使用雙重認(rèn)證時(shí)，企業(yè)IT不應(yīng)同時(shí)驗(yàn)證兩個(gè)因素，而應(yīng)首先驗(yàn)證一個(gè)因素。如果此驗(yàn)證成功，再去驗(yàn)證第二個(gè)因素。這種做法可以防止蠻力攻擊、拒絕服務(wù)攻擊和包含多次登錄企圖的其它攻擊。

例如，如果第一個(gè)認(rèn)證因素是用戶名和口令，就易于被鎖定，攻擊者可以輕松地在遠(yuǎn)程訪問(wèn)網(wǎng)關(guān)猜測(cè)用戶名和口令的組合，并且鎖定合法的用戶賬戶。如果是其它因素第一認(rèn)證，攻擊者就必須在嘗試用戶名和口令認(rèn)證之前提供此認(rèn)證。

換言之，用戶名和口令認(rèn)證應(yīng)當(dāng)能夠?qū)剐U力攻擊和拒絕服務(wù)攻擊。完成此功能的一種有效方法就是在認(rèn)證嘗試期間實(shí)施一種遞增延遲。例如，在一次認(rèn)證嘗試失敗后，要讓用戶等待兩秒鐘才能再次嘗試。如果第二次嘗試失敗，就將延遲時(shí)間增加到四秒。第三次嘗試失敗，則增加遲延時(shí)間為八秒，依此類推。這種做法可以防止賬戶被攻擊者鎖定，同時(shí)又可以使認(rèn)證嘗試的次數(shù)達(dá)到最小化。監(jiān)視軟件應(yīng)當(dāng)檢測(cè)連續(xù)的認(rèn)證嘗試，并且通知管理員進(jìn)行干預(yù)。