双因素认证保护

14.4　双因素认证保护 移动办公安全性

在信息工业时代，企业员工经常在在远程位置(如家庭办公室、机场、酒店或客户公司)高效率完成工作，作为保护这些敏感网络资源和应用的远程连接的措施，显得尤为重要。企业必须实施安全的用户身份认证系统(双因素认证)。而且，移动电话无处不在，也已为双因素认证提供了一种全新且方便的形式——在每个人所携带的移动设备上驻入基于软件的身份认证码。

为了向外界开放企业网络和业务应用，企业已明确建立了机制，并应用了技术。曾经以为将这些网络的访问控制级别限制在办公大楼内部就已经足够，但现在已经无法接受了。假设恶意攻击者自称为其员工，就完全能够访问企业系统。

此外，大多数公司已经实施了强大的安全措施，保护对其基础设施的物理访问，但是远程访问安全却通常被忽视。近年来，通过网络向用户透露的敏感性数据的数量日益增加，接受大量用户群访问的企业网络更容易受到恶意攻击者的攻击，因为如今的系统安全取决于大量密码中最脆弱密码的强度。

远程访问网关(如VPN、Citrix和Outlook Web Access)均建立了访问互联网的安全通道。这些网关提供既方便又安全的网络资源远程链接。然而，依靠简单的用户名和密码来访问这些安全网关，类似于房子的前门没有上锁，或者使用了一把可以轻易打开的锁。静态密码是一种不可靠的机制，无法守护您的信任系统、应用程序和网络。许多密码可以轻易猜出、被黑客盗取或受到强力攻击的威胁。

对于最终用户和IT部门，即使是复杂的密码策略也可能出现问题。每30天更改密码，不允许用户在指定时期内重复使用密码，并要求密码中必须含有多个特殊字符以大大增强密码的复杂性。如果用户忘记了密码，则需要打电话联系服务台重置密码，但这样会提高IT支持的整体成本，降低了生产效率，并且还降低了用户操作的简便性。

业界对静态密码作为身份认证机制所存在的漏洞已认识清楚，从而突出了采用更强大的用户身份认证方法的必要性。拥有移动办公人员的公司需要强大的认证解决方案，它不仅能够提供可靠的安全性，还可以轻松安装和部署，简化管理，并根据需要进行扩展。

拥有宝贵信息的组织必须选择比密码更强大的身份认证机制来保护资源。严格身份认证(也称为双因素认证)指需要多个身份认证因素并采用先进技术的系统，如通过密钥和加密验证用户的身份。严格身份认证的最简单示例就是ATM卡。它要求您拥有某些东西(卡)，并且知道某些东西(PIN码)。

针对这一严苛的市场需求，致力于向高端用户提供完美解决方案的上讯信息系统工程有限公司推荐一款身份认证解决方案，如Secure Computing公司的SafeWord产品。

为VPN、Citrix应用程序、Webmail、Outlook Web Access和其他远程访问网关的用户提供证据确凿的用户身份认证。SafeWord产品通过严格身份认证主动识别用户，确保只有合适的人员才能连接到可信的应用程序和网络。

双因素认证解决方案通过硬件令牌(见图14.11)生成一次性密码，结合用户的PIN码来确保安全性。用户只需要按一下令牌上的按钮，就可以生成一次性密码。用户先输入密码，接着输入惟一的PIN码，便可以进行访问。使用一次后，密码便对该系统无效。如果有人尝试再次使用该密码，认证服务器会拒绝访问。

图14.11　硬件令牌

对于那些移动办公的员工，SafeWord提供至关重要的“秘匙”机制以保护员工在任何地点的登录。对于那些频繁出差的员工，他们经常在机场贵宾室、酒店、火车或客户办公室中工作。对于这些员工——包括销售代表、业务顾问、市场营销专家和其他移动专业人员——对数据中心的访问就是给他们带来成功的生命线。

随着移动电话和便携式计算机逐渐成为无处不在的移动工具箱，使充分利用双因素认证变得具有现实意义。工信部统计数据显示，截至2011年底有超过2.15亿部智能移动电话被大众使用。而商业用户占这些智能移动电话用户的很大比例。无论是从职业角度还是个人角度来看，移动设备如今已经成为我们生活中不可分割的组成部分。现在可以充分利用这些设备来执行其他活动，在此之前均依赖于其他附件。

上讯信息(www.sxis.com)在推出SafeWord硬件令牌的同时，也为软件身份认证码的需求者带来了MobilePass，这是一种基于软件的认证解决方案，可以在多种流行的移动电话平台上生成一次性密码，这些平台包括Palm、BlackBerry、Windows Mobile和具有J2ME功能的设备。MobilePass也可用于Windows台式计算机。

MobilePass等软件身份认证码将已经过证明的安全性与用户便利性相结合，只需从移动设备快速启动MobilePass应用程序，便可获取安全远程访问登录的一次性密码。

MobilePass允许用户使用移动电话生成安全的一次性密码——这一点与硬件令牌类似。它只需采用一个小小的软件程序，将该程序下载到用户的移动设备上，用户轻按一下按钮就可以激活应用程序，并在设备的屏幕上生成正确的一次性密码。然后，用户在电脑上依次输入密码和个人PIN码，便可登录组织的安全网络。

移动身份认证解决方案能够有效降低成本，减轻企业负担。此外，一旦部署了基于软件的认证码，它将不会过期，而且永远不需要更换。另外，由于它可用于用户的移动设备，因此可提供全新水平的便利性和可用性。