很多證據表明，獲取和濫用內部人員憑據的外部威脅都與內部人員有關。很多安全專家認為，多重認證是一種減輕由此種威脅造成風險的好方法。但是，我們需要考慮到，多重認證在減少外部人員的風險時仍然存在局限性。

[[168795]]

一個很重要的問題是，有哪種安全控制曾被證明是絕對有效的?即使與互聯網隔離的網絡也有可能遭到USB設備上所攜帶的惡意軟件攻擊。

與之類似的是，雖然多重認證給口令竊取帶來了很大困難，但多重認證是否絕對無懈可擊?為了進一步減輕風險，還要考慮哪些風險?在防止外部威脅進入企業時，還是會發生情況導致多重認證失效：

外包

你可能聽說過有一位開發人員曾將其工作交給外國人做的故事，如此一來，開發者就可以上網購物并更新其社交網站的信息，同時還能承擔工作責任。這位開發人員的雇主是一家重要的基礎架構公司，此公司努力通過RSA令牌實施雙重認證并訪問公司的VPN。但是，他們都沒有考慮到編碼人員心甘情愿地將其登錄憑據交給了一家外國咨詢公司，并且只需向其支付薪水可以搞定。如此，所有的安全舉措豈不成了擺設?

幫手

在多重認證的三個因素中，在生物識別提供了一種可以展示“你是你”的方法。但是，如果有人手上弄上了石膏而無法提供指紋或手印該怎么辦?或者，一個振振有詞的或忙得不可開交的員工說“把自己的密碼卡忘在家里了”，又該怎么辦?真正可能的是情況是，保安或同事可以提供幫助。

變向

用于硬件令牌中的一次性口令與移動應用使用的軟令牌都容易被他人截獲。通過運行在機器上或獲得訪問權的移動設備上或在移動運營商網絡上的惡意軟件就可以做到這些。惡意軟件可用于阻止合法的用戶請求，同時又可以捕獲憑據使攻擊者立即就能夠使用。SIM卡也可以被欺騙。隨著移動設備上漏洞的不斷增多，以及通過移動平臺進行的訪問日漸增多，這種可能性越來越大。

共享

紐約大學做過的一項試驗發現，通過短信發送到用戶手機上用于口令重置的驗證碼，在要求用戶轉發后，攻擊者很輕松地就可以獲得。其方法是，在攻擊者用一種看起來像是官方的文本(就像是合法供應商要求的驗證)來跟進這個短消息時，大約有四分之一的用戶愿意分享其收到的數字。如果攻擊者已經成功地獲得了這個口令，并在用戶提交驗證碼進行驗證時，他就可以訪問賬戶。

同步

客戶端和移動平臺的瀏覽器之間的同步可以提供很大方便，并且其使用也很廣泛。這種方便可以使我們共享短消息服務或者在平臺之間分享網站的書簽。阿姆斯特丹大學的一項研究指出，這種同步還可用于破壞基于移動平臺的多重認證。如果桌面遭到了攻擊和損害，那么這種同步就提供了一種機會，可以實現諸如遠程安裝等功能，將惡意軟件安裝到用戶的移動設備上。在設備遭到破壞后，任何依賴多重認證的一切機制都無法幸免。

如何應對多重認證的局限性?

上述每個例子的威脅都可以通過不同的方法來減輕其危害。由于多數情況都與不安全的行為方式有關，所以教育成為一種減輕威脅的非常明顯的方法。在多重認證中至少要有三個因素，所以，增加復雜性是另一種方法，但是必須考慮到這樣做給用戶帶來的不方便。

我們還要考慮到，攻擊者總會找到一種破壞憑據的方法。因而，我們不僅要控制訪問，還要監視用戶們如何訪問和訪問了什么，要查找一些可能表明正在發生攻擊的異常模式。這種將用戶行為分析、安全分析、身份分析等結合起來的觀念雖然仍處于完善階段，卻提供了一種防止或限制由被憑據損壞而造成危險的可能性。

就像是所有的安全措施一樣，多重認證并不是一種保護憑據的萬全之策。但是，理解多重認證局限性的風險是減輕威脅的首要一步。