目前，很多企業已建立一套服務于業務，驅動業務發展的IT系統架構、OA系統及各種業務系統，同時也部署了諸如防火墻、VPN等技術來保護IT系統。

 

盡管網絡的硬件和軟件環境看上去都受到了保護，達到理論的安全標準。但事實上，在整個IT系統架構中依然存在一個很容易被忽視的部分——“用戶身份認證”。如果“身份”問題不能得到解決，黑客將會很容易冒充正常用戶進入到公司系統，竊取公司內部的機密信息，使貌似安全的環境，卻成為“網絡安全最薄弱環節”。

 

許多公司僅用靜態密碼對他們重要的信息和交易業務進行保護，這是完全不夠的。靜態密碼很容易被黑客破解，對于一些重要的、機密的數據信息，只使用靜態密碼保護是絕對不足夠的。

 

20011年3月，RSA公司透露其受到網絡攻擊，攻擊造成SecurID的關鍵信息丟失。6月2日，RSA確認了在3月份的被盜的數據被用來攻擊洛克希德-馬丁公司和其他美國國防承包商。6月6日，該公司在全球范圍召回4000萬只SecurID。

 

針對這一事件的一項調查發現，越來越多的安全令牌用戶對雙因素認證技術感到焦慮。在接受調查的400名IT專業人士中，該事件讓他們有所覺醒，其中，44%的人正重新評估他們目前使用的令牌，15%的人加快了已經計劃好的令牌選項評估。

 

由此可見，加密是確保認證安全性的關鍵。身份認證、數據傳輸安全、后臺系統安全性，這些都與加密息息相關。

 

來自SafeNet的一位技術專家表示，即使是竊取數據，一個攻擊者使用SecurID技術入侵一個公司也需要高超的技術和好運氣。

 

目前，加強用戶的身份管理，防止用戶身份的泄露，是公認的預防認證安全隱患的最有效措施。一方面是對使用用戶的認證，即使用認證服務的這個人是不是合法用戶？另一方面訪問的站點是不是合法站點，這個站點是否是合法站點，通過用戶自定義密碼和動態密碼結合的方式更保證了密碼的安全性。

 

來自SafeNet的亞太區副總裁陳泓先生，對這一事件表示非常遺憾和震驚，同時他自己也做了相關的分析，如下圖所示：

 

他認為通常身份認證供應商采用對稱算法，在每一個OTP（一次性密碼）里放置一個種子文件，認證的時候該種子文件需要與OTP服務器進行簽名，這一在給所有的客戶分發發Token令牌時，供應商會自己做編程然后把種子文件放在OTP認證的服務器上。

 

顯然，如果種子文件被偷了，將意味著整個安全系統的崩潰，任何拿到該種子文件的黑客可以輕易地仿冒任何客戶的身份，后果之嚴重可想而知。陳泓分析認為，SecurID事件很可能是因為這樣造成的，同時他也強調，對所有供應商來說，種子文件是令牌的核心。

對于可編程的種子，陳泓也給出了另一種解決方案，這也是SafeNet的解決方案，與前面那種方式相比而言，種子的生成不是在SafeNet這邊完成的，而是在客戶端做的，這樣做的最大優勢在于，即使一個客戶存在安全風險并出現問題，也不會影響到其他客戶。同時，陳泓也強調，客戶為了保證種子文件的安全，需要建立一整套的安全機制。

 

不過在記者看來，將可編程的種子放在客戶端，雖然可以避免整體受損，但并非所有客戶都能做到安全的保護，需要很專業的IT人員和完善的安全策略。所以，陳泓分析的這兩種方案各有千秋，都會存在一定的風險，客戶在選擇時也應該慎重考慮。

 

對于SecurID事件，RSA官方一直未就種子文件是否被攻破而表態，不過陳泓認為，種子文件是令牌的核心，如果不是核心出現問題，RSA也不太可能全部召回，因為RSA要把所有的種子文件都換掉，才能保證安全，保證網路不會再被黑客侵入。

 

值得一提的是，目前市場上有很多一次性密碼（OTP）身份驗證解決方案，雖然這些解決方案的特點無非是上述陳泓所說的那兩種，但用戶可選擇的供應商依然有很多，如Safenet就是一家比較專業的身份認證解決方案提供商。

 

在基于智能卡的身份驗證、密碼管理和公鑰基礎設施（PKI）方案等領域內，SafeNet都取得了相當不錯的市場份額，該公司提供基于一次性密碼技術的身份驗證解決方案基于eToken NG-OTP設備，是SafeNet獨創的基于智能卡的混合Token令牌。可以在連通模式（采用USB連接）或分離模式（采用one-time密碼）下訪問網絡和應用程序。

 

SecurID事件的影響還在繼續，隨著多家供應商表示愿意為客戶更換使用RSA SecurID的解決方案，構建可信的身份認證環境就顯得越來越重要。對于可信的身份認證，希望以下四個方面對用戶在選擇身份認證解決方案時，有所幫助：

◆可控性: 客戶能夠控制令牌種子值數據，并對令牌進行設置。

◆選擇性: 一個好的Token令牌認證服務提供商，應該有不同的選擇給客戶。

◆集中管理：更好地進行控制，實現統一平臺管理。

◆為云部署做好準備，無需改變現有平臺。