越來越多的跡象表明，使用單一密碼認證的系統是注定要出問題的。Verizon在其2013年數據泄露調查報告中指出，使用非單一用戶密碼認證機制在去年可以抵御80%的攻擊。但是，許多企業仍然沒有使用多重身份認證。為此，我們了解一下什么是雙重身份認證：技術供應商提供的方法，以及企業如何用它實現一個全面企業安全戰略，從而實現一個可靠的業務案例。

雖然許多供應商推出了相似的技術，但是它們均有各自的優點和缺點。例如，有成熟產品的供應商可能使用一些私有驗證方法和軟件開發套件（SDK），它可能插入到企業應用程序或供應商應用程序中。其他供應商可能關注于一種或多種廣泛應用的身份認證方法，如一次生密碼（OTP）令牌和編外(OOB)身份認證方法。

雙重認證用例

企業IT系統為特定的用戶提供特殊功能；系統管理員執行的任務不同于安全分析師或財務分析師的任務。身份認證是一個重要的業務過程，它負責將用戶關聯到應用程序和其他資源，而不會向未授權的用戶暴露數據與過程。

在現在云計算的復雜環境中，企業應該采用雙重身份認證方法支持一個或多個用例，才能更好地保護企業資產和業務數據，阻止未授權訪問。這些用例包括：

1. 內部或本地訪問：員工訪問關鍵業務或基于云的應用程序，以及/或者管理員訪問企業服務器和網絡設備。

2. 外部或遠程訪問：遠程或移動員工通過VPN或Portal訪問企業后臺系統。

3. 常用網絡入口：在公共網絡/互聯網和內部企業網絡之間，使用安全訪問機制訪問企業服務，如電子郵件或VPN。#p#

雙重認證方法

近幾年來，雙重認證（雙重認證）逐漸成熟，而且技術成本也顯著降低。雖然這項技術仍然在發展和改進，但是現在員工不需要復雜設備就能夠很方便地使用這些技術。每一位員工的日常移動設備是第二種認證手段來生成安全認證代碼，不需要使用令牌，就可以保護企業資產不受攻擊。

一些主流雙重認證供應商都提供了功能強大的成熟技術方法和各種可靠的企業用例，如Entrust、RSA、SafeNet和Symantec。

RSA是EMC的安全分部，它有知名的RSA SecureID一次性密碼硬件和基于軟件的令牌技術。此外，它還提供了自適應身份驗證，大型企業可以通過它使用與環境相關的身份驗證/自適應訪問控制功能。另一個方法是身份驗證，這是一個托管服務，它基于最終用戶的生活歷史問題來驗證身份，并且使用交互式用戶驗證流程。它的大多數競爭對手都有相似的產品。

雙重認證的實現成本受實際應用場景的影響。例如，行業領域、企業規模、使用模式、用戶位置、幫助臺在線狀態和業務或數據敏感度等，大型金融與零售領域的實現成本大約在65,000美元至2百萬美元之間。

PhoneFactor（已被微軟收購）新近推出了一個可靠的雙重認證產品。PhoneFactor使用用戶的電話替代令牌或其他專用的雙重認證設備，它方便用戶使用，也是一個適合企業使用且經濟的安全平臺。在身份認證的第一步中，用戶必須輸入用戶名和密碼。第二步，用戶可以選擇下面的一種方法：a) PhoneFactor呼叫用戶，用戶按電話#鍵回復，b) PhoneFactor給用戶發送一條包含驗證碼的短信，然后用戶通過短信回復驗證碼，c) PhoneFactor給用戶智能手機上安裝的PhoneFactor應用推送一條通知，然后用戶在應用上觸碰“認證”完成認證過程。這個供應商給小型組織（最多25個用戶）提供了一個免費版本。#p#

選擇雙重認證產品時要考慮的問題

雙重認證技術可以幫助企業保護用戶身份信息，降低企業環境中未授權訪問和盜取身份信息的概率。此外，它也能夠幫助企業符合法規標準和滿足合規性要求。例如，PCI DSS 8.3規定：“員工、管理和第三方組織遠程訪問網絡都必須使用雙重認證。”

并非所有企業都必須符合PCI規范，但是PCI DSS被認為是一種基本要求，所以如果一些組織還沒有應用雙重認證策略，那么最好現在開始啟動這個過程，當然先要評估供應商的技術。

在確定雙重認證需求并開始規劃項目時，組織應該考慮下面所列的建議：

◆理解企業IT環境——包括理解企業內部或外部用于訪問信息或數據的技術，以及了解IT政策的應用方式和所采取的保護措施。例如，員工是否可以通過移動設備訪問企業信息？或者，企業是否使用SaaS提供商托管的SaaS應用程序，以及這個SaaS提供商是否支持雙重認證數據保護機制。

◆尋找目標用戶——雙重認證是否只應用于特定的業務部門，如銷售或營銷部門，或者也應用于遠程作業和合作伙伴？一般而言，大多數組織只為VPN訪問提供雙重認證。要將實現范圍限制在一些特定的用例上，至少是在早期階段。

◆采用有利于控制風險的方法——有利于降低風險的技術，現在大多數組織都會選擇。所以，當目標用戶范圍不明確時，只為那些訪問關鍵業務信息或知識產權的用戶提供雙重認證，不論戶是員工還是第三方人員，是從企業網絡還是從遠程位置訪問這些信息。

◆避免不必要的開支和復雜性?——供應商不同，企業需求和規模不同，實現的總成本也不同。在確定成本時，要考慮用戶數量、辦公位置、企業的全球分布及支持與幫助臺覆蓋情況。#p#

實現雙重認證的挑戰

雙重認證并不容易實現。例如，安全公司Duo Security最近報告了谷歌雙重登錄流程的一個嚴重問題。這個問題很快被修復，它源于谷歌在許多服務上使用的一個特性。盡管谷歌是一個互聯網巨頭，有非常先進的技術，但是它的實現也仍然會出現問題。

一定要知道，在任何組織中，大范圍部署雙重認證都是一項非常復雜的任務。但是雖然實現一個覆蓋整個基礎架構安全雙重認證平臺會遇到一些困難，但是事先了解可能出現的問題將有利于減小出現問題的概率。

例如，遺留的軟件和服務必須經常為了雙重認證重新調整，或者需要一個身份認證框架用于不同的內部或外部工具，才能在整個企業范圍支持雙重認證。有時候，雙重認證框架的選擇需要很多的定制，這往往要在軟件架構真正開始實施整合時才能夠確定。

雙重認證也很可能會影響用戶體驗。他們可能認為，每次登錄時都帶一個可信設備或硬件是很麻煩的事情。所以，一些需要頻繁訪問的系統認證上，要允許用戶選擇跳過雙重認證。

雙重認證實現遇到的一些困難和問題，可以通過下面這些方法處理：

◆選擇一個符合企業需求的方式。這些方法包括基于硬件/軟件的令牌或者向智能手機發送短信（SMS）。地理位置集中的企業更愿意使用物理令牌，而工作場所不斷變化的企業則喜歡使用基于軟件的令牌或移動方法。

◆考慮使用分階段方法。顯然，一次性在整個企業范圍實現可能會讓一部分人不適應。同時，應用與系統擁有者會發現一次性遷移更容易實現。但是，這對于最終用戶和幫助臺支持人員而言則完全相反，他們不得不在遷移過程提供支持和解決問題。此外，這也會增加項目開支。

◆提供足夠的用戶支持。安裝和配置后臺服務器組件需要一定的時間，整合和測試應用程序也需要時間。自助服務、足夠的培訓和人員完備的幫助與支持團隊，都是幫助用戶適應這項技術并成功度過轉變時期的重要條件。

雙重認證正成為現代企業IT安全項目的重要組成，但是它在理解、實現和管理上有一定的復雜性和難度。組織必須認識到，只使用密碼的傳統認證機制本身不夠可靠，可能無法再提供足夠的安全控制。在現在充滿威脅的環境中，必須應用雙重認證，才能防止未授權用戶訪問重要企業系統，同時阻擋源源不斷的危險攻擊者。