用于電子身份驗證的短信雙因素認證
大家都知道用戶名和密碼這樣的身份驗證方式不是特別的安全,相對于一些你知道和擁有的身份驗證方式來說,一些有安全意識的管理員更希望使用強雙因素身份驗證(2FA)。但如果要使用2FA系統,則需要一個硬件令牌。象這樣基于令牌的系統,通常是一個會顯示一次性密碼的設備,而用戶必須把密碼做為身份驗證的一部分提供給系統進行驗證,這樣的系統在實施和維護的時候需要許多的資源和精力。
這種令牌對大多數用戶來說很昂貴,而且不便于企業外的用戶管理,比如顧客和合同制員工。這是因為為了要使用這些設備,公司必須先采購硬件令牌,把它們配置好(以便隨時使用),并且還要教用戶它們的物理保護和使用方法,處理粗心用戶丟失他們設備的問題。
但是最近在雙因素身份驗證上的一個創新可以緩解這些問題:無令牌雙因素身份驗證(T2FA)。T2FA不使用專用的硬件設備來傳遞一次性密碼,相反,它使用用戶已經擁有的并且很熟悉的設備,可以是用戶的移動電話、家用電話、傳真機、上網本或筆記本電腦、掌上電腦、智能手機或任何其他通訊設備。
無令牌雙因素身份驗證入門
為了使用T2FA服務,用戶需要注冊該服務,這可以通過一種自助式應用程序或Web門戶網站完成。首先,用戶根據T2FA服務管理員的要求輸入他(或她)的個人信息以及其他附加數據來開始他(或她)的注冊過程。在確認了用戶的身份之后,組織可以根據他(或她)的角色或他(或她)希望訪問的信息來驗證用戶是否需要高強度的身份驗證。
如果用戶需要高強度的身份驗證服務,應用程序會要求用戶輸入他(或她)首選的通訊渠道信息,比如移動電話,這樣就可以通過手機給他們發送密碼。由于T2FA系統不需要用戶在設備上安裝任何軟件,這就意味著通過T2FA實現的高強度身份驗證與眾多終端用戶設備是兼容的,因此可以為公司在管理費用、用戶培訓以及技術支持上節約開銷。
在成功完成注冊流程后,每當用戶使用用戶名密碼方式進行身份驗證時,一次性密碼會實時地通過短信、電話交互式語音應答(IVR)、傳真或電子郵件服務自動發送到用戶的首選通訊設備上。組織也可以選擇另一個方案,即預先發送一次性密碼到用戶設備上,這樣可以解決由網絡延時造成的短消息延時和網絡覆蓋損失,比如,如果用戶在一幢沒有手機信號覆蓋的大樓里工作,用戶可以把這個預先發送的密碼輸入給系統驗證服務來進行身份驗證。這樣的方案允許公司通過終端用戶自己擁有并操作的設備而不是公司提供的設備,來使用高強度憑證驗證用戶的身份。
未來認證:雙因素認證 vs 無令牌雙因素認證
那么這難道意味著2FA正在走向滅亡嗎?不是,在組織內部,這兩種保護機制都有發展的空間。但在組織中,要根據使用者的角色和他(或她)的訪問需求來決定使用的機制。對于那些需要頻繁訪問不同應用程序和門戶網站(需要強身份認證)的用戶來說,如IT管理員或系統工程師、全職遠程員工、出差的員工、商業人士、醫務專業人員和其它人員,如果通過他們自己的設備來等待接收密碼,可能會太復雜或過于費時。但對于偶爾使用的用戶來說,如合同制員工、顧客或一個因意外事件或壞天氣而在家工作的員工,T2FA是一個更好的選擇。
還有另一種情況,跨越經常使用和偶爾使用的用戶的界限:就是員工使用虛擬終端服務的情況,“終端服務”是微軟的瘦客戶端終端服務器的實例,其中的應用程序或者整個電腦桌面,都可以通過一個遠程客戶機來訪問。其它的選擇方案包括Citrix系統公司的GoToMyPc和賽門鐵克公司的pcAnywhere。這些服務變得越來越流行,因為很多公司合同雇傭第三方來遠程開發和維護應用程序、服務器以及網絡設備。由于和終端服務相關聯的權限很大,而且事實上,一旦通過了身份驗證,用戶就可以訪問敏感的內部應用程序和數據,因此需要使用高強度身份驗證服務來保證它們的安全。通過使用T2FA,遠程員工只需要通過手機接收密碼短信,就可以在登陸到終端服務的時候,確保他們是被授權訪問公司內部資源的。
那么T2FA存在的問題是什么呢?那就是,當使用電話和掌上電腦的時候,T2FA服務只有在每個移動設備的網絡覆蓋情況良好時才能正常工作。此外,為了接收到密碼,象手機這樣的設備必須有電而且可以正常運行。而且,手機上的服務并不都是免費的,使用頻率高的用戶可能因為在手機或掌上電話上請求密碼而很快用完短信費用。由于公司并不管理終端用戶的設備,所以它必須創建可以允許用戶修改指定首選通訊渠道的應用程序或服務,有時候這種情況特別多,尤其是在用戶無法訪問他(或她)的普通設備的時候。組織還應該牢記這點,電話和一次性密碼設備等并不只是在公司內部使用,而是隨著用戶到他們的家里、購物中心、海灘或是其它一些地方。由于存在潛在的丟失風險,組織必須創建和培訓關于報告丟失和轉移這些設備服務的流程。
因此,盡管部署T2FA存在挑戰,能夠在組織內部混合使用2FA和T2FA意味著為了滿足特定需求、預算和工作模式,高強度認證要求可以進行定制。對于那些不具備支持一種或兩種高強度身份驗證方式技術或基礎設施的組織來說,廠商也可以向他們提供了主機托管服務,如Signafy公司、Positive網絡公司和Authentify公司。使用基于云技術的服務意味著組織可以享受兩個方案的好處,并根據特定用戶的需求來選擇合適的身份驗證。但最終,除了降低管理硬件令牌所需的成本和時間外,隨著創新商業模式對聯合勞工和設施進行遠程工作的需求的增加,對T2FA的需求也會增加。
【編輯推薦】
