眾所周知，密碼，是最常見的身份驗證方法，然而，密碼往往是人們可以預(yù)測的。更糟糕的是，人們通常都比較懶惰，很多時候都傾向于使用相同的密碼。增加密碼的數(shù)量和改變密碼的強制性有助于打擊密碼泄露和被破解的威脅。但密碼難以破解的同時也很難記住。多重身份認(rèn)證正在變得越來越重要。

　　多重契機驅(qū)動市場

　　在物理安全方面，企業(yè)和政府保護(hù)我們私人信息(個人和財務(wù))的失敗是一個教訓(xùn)，曾經(jīng)足夠安全性的用戶名和密碼不再被接受。“在物理安全方面，我們通過接受卡片的訪問來提供低水平的安全，”AMAG技術(shù)高級系統(tǒng)設(shè)計架構(gòu)師Adam Shane說。“卡片可以被復(fù)制，偽造、修改或者被盜，沒有什么可以驗證卡片的真實性，在某些情況下，發(fā)行者都沒有辦法核實業(yè)主擁有自己的卡片。”互聯(lián)網(wǎng)上多種系統(tǒng)相互連接，信息暴露在所有人面前。“多重身份驗證背后的驅(qū)動因素是提高組織的安全水平，只允許獲得授權(quán)的人員進(jìn)入。”MD of TDSi的John Davies說道。

　　除了現(xiàn)有的法律和法規(guī)，云計算是部署多重身份驗證的一個關(guān)鍵驅(qū)動程序。已經(jīng)部署的安全系統(tǒng)中的傳統(tǒng)防護(hù)，如防火墻，由于系統(tǒng)走向云計算技術(shù)而變得越來越不管用，這意味著越來越多公司的數(shù)據(jù)不再存儲在網(wǎng)絡(luò)公司。HID全球身份驗證產(chǎn)品市場副總裁Julian Lovelock指出，“傳統(tǒng)意義上，企業(yè)所存儲的關(guān)鍵IT資源是在有防火墻的企業(yè)服務(wù)器上，或者有圍墻的后花園。但是，隨著員工遠(yuǎn)程辦公中投入的時間和精力均在快速增長，企業(yè)加固‘墻’的方式似乎是一種浪費，有圍墻的方法變得越來越不合時宜，更多的數(shù)據(jù)開始存放在企業(yè)網(wǎng)絡(luò)之外。這些所有的趨勢都指向一個方向，組織關(guān)注的焦點在于運用強制性的認(rèn)證方式保護(hù)個人資源，而不是單純的保護(hù)墻。”

　　對此SyferLock Technology首席執(zhí)行官Chris Cardell表示贊同。大趨勢如：云計算的出現(xiàn)，服務(wù)器和桌面的虛擬化，移動通信技術(shù)的擴散，員工使用私人設(shè)備進(jìn)行遠(yuǎn)程訪問的增加，越來越多的員工使用社交網(wǎng)絡(luò)進(jìn)行工作，也給企業(yè)帶來了新的漏洞和風(fēng)險。用戶希望能夠通過互聯(lián)網(wǎng)和移動設(shè)備，如智能手機和平板電腦從任何地方都能訪問信息，這意味著IT和安全主管比以往任何時候都要更努力的來確保組織的信息資產(chǎn)安全。他說，“一個最大的安全隱患是匿名訪問有關(guān)系統(tǒng)和信息，鑒于員工遠(yuǎn)程工作中所使用的移動設(shè)備，將給企業(yè)網(wǎng)絡(luò)帶來潛在的威脅，認(rèn)證已經(jīng)成為企業(yè)中必須實現(xiàn)的優(yōu)先級。”

　　對信息安全敏感的行業(yè)領(lǐng)銜

　　多重醫(yī)院、銀行、機場、數(shù)據(jù)中心、大型企業(yè)、服務(wù)器機房、大學(xué)、醫(yī)藥研究室、政府部分和其它從事敏感材料的組織如國防，對多重訪問授權(quán)尤為關(guān)注。

　　“越來越多的呼聲要求強制認(rèn)證/多重身份認(rèn)證，包括員工、承包商和客戶等每一個關(guān)心安全訪問敏感/重要信息的人員。”Cardell說。在某些行業(yè)，如醫(yī)療和金融服務(wù)，越來越嚴(yán)厲的監(jiān)管要求迫使其采用更嚴(yán)格的強制認(rèn)證。例如，在美國，衛(wèi)生保健機構(gòu)必須符合健康保險流通與責(zé)任法案(HIPAA)。單純依靠用戶名和密碼進(jìn)行數(shù)據(jù)訪問無法保證足夠的安全，尤其是敏感信息，如病人的病歷。

　　Shane說：“美國政府還規(guī)定，在執(zhí)行物理和網(wǎng)絡(luò)資產(chǎn)訪問的行政部門需要個人身份驗證卡(PIV)。” 這張卡片是聯(lián)邦通過的支持KPI驗證，獲得所有機構(gòu)的信任，并支持多重身份驗證(憑證、個人身份號碼、生物信息)。但并不是所有的系統(tǒng)將會升級到支持這個高端認(rèn)證令牌，它將使美國政府花費大約100美元/人,這還不包括常規(guī)的基礎(chǔ)設(shè)施的維護(hù)管理費用。

　　(泰科國際公司) 軟件公司高級產(chǎn)品經(jīng)理Rick Focke樂觀看待改造項目和生物解決方案的潛能。美國聯(lián)邦政府是一個大市場，需要升級和改造的解決方案仍然很多。在這個市場或者其它方面，隨著產(chǎn)品安裝數(shù)量的增加，制造成本會逐步下降。

　　來自雇員、承包商和電子商戶客戶的安全訪問需求增加，在遠(yuǎn)程操作的前提下，計算機、網(wǎng)絡(luò)中敏感的重要信息，都需要更高級別的多重身份驗證方法。Shane說：“這是一個總的趨勢，有許多市場要求實現(xiàn)強大的身份驗證,例如減少財務(wù)損失，提高審計或欺詐犯罪能力(不可抵賴性)，減少網(wǎng)絡(luò)間諜和恐怖主義事件，改善公共關(guān)系，用戶數(shù)量還在增長。”

　　代價有多高?復(fù)雜和昂貴?

　　成本和可用性可能是企業(yè)及最終用戶在實現(xiàn)多重身份驗證解決方案時最大的顧慮。“添加生物認(rèn)證的身份綁定，不僅每個終端需要一個生物讀取設(shè)備，同時需要獲得授權(quán)的軟件來實現(xiàn)生物比較。”Shane說：“在生物認(rèn)證方面，有不同的方法來處理綁定個人信用卡或證件的流程。例如在一個案例中,用戶的生物特征地圖或模板存儲在磁卡或者計算機數(shù)據(jù)庫中。綁定過程首先要求用戶出示卡片/憑證，讀取識別號碼(稱為一個1:1匹配)，如果身份證號碼是來源于受保護(hù)存儲用戶的生物特征數(shù)據(jù)庫，生物特征識別將證明他們的身份，這種方式可以保持最低成本。同樣，提交憑證，可以直接從磁卡中獲取生物識別數(shù)據(jù)。然而，在其它系統(tǒng)中,一個人可能只提供一項生物特征(指紋、虹膜、或其他) 檢驗，該系統(tǒng)將需比對數(shù)據(jù)庫中的所有樣本，這是所謂的1∶n匹配或搜索。”

　　多重認(rèn)證解決方案也需要相應(yīng)的注冊或登記軟件來建立身份認(rèn)證數(shù)據(jù)庫，然后進(jìn)行管理。“這個軟件是相當(dāng)昂貴的。”Shane補充說。“我們試圖幫助客戶理解，這是一個相對簡單到非常復(fù)雜的連續(xù)性解決方案。他們的預(yù)算，安全問題，監(jiān)管要求，造成的后果都需考慮在內(nèi)，從而指導(dǎo)他們尋求適當(dāng)?shù)慕鉀Q方案。”

　　在生物特征安全的情況下，最終用戶可能也會擔(dān)心需要采購第三方或附加的生物系統(tǒng)，如需要在門口設(shè)置兩個單獨的設(shè)備以及并行運用兩個相對獨立的軟件系統(tǒng)。“另一個問題是生物識別技術(shù)在今天的變化速度，一種新興的生物識別技術(shù)可以在相當(dāng)短的時間內(nèi)落后，而考慮虹膜技術(shù)、使用專利或許可證對客戶來說也是顯著的障礙。”電子制造服務(wù)(泰科國際旗下公司)系統(tǒng)EMEA(歐洲、中東、非洲)區(qū)域銷售總監(jiān)Philip Verner說。

　　吞吐量和便捷性仍然是困擾用戶的問題。 “當(dāng)門口有大量的人員需要進(jìn)入時，客戶希望能夠避免時間延遲。它在全天候使用多重認(rèn)證是不太方便的，我們建議在一天內(nèi)的某些時間來使用識別以確保安全，例如，在夜晚，通道通常是關(guān)閉的。”Verner說。

[nextpage]

　　購買注意事項

　　無論選擇哪種安全模式，總體成本是確定解決方案價值的關(guān)鍵因素。首先，最終用戶需要評估使用和維護(hù)一套典型用戶名和密碼登錄安全系統(tǒng)的成本。薄弱的安全系統(tǒng)可能導(dǎo)致直接或間接損失以及災(zāi)難性的后果，未經(jīng)授權(quán)的用戶和入侵者將使系統(tǒng)泄漏敏感信息以及資源。

　　當(dāng)評估一個可供選擇的多重解決方案時，硬件、軟件、系統(tǒng)集成、安裝、部署、維護(hù)和設(shè)備更換都應(yīng)該考慮在內(nèi)。除了購買解決方案以及軟件授權(quán)的直接成本，可能還會存在一些隱形的成本。例如，客戶可能需要考慮到硬件成本，如令牌、智能卡、生物讀卡器。成本預(yù)算必須考慮到系統(tǒng)初始部署后可能存在的成本增加。系統(tǒng)容量越大，管理復(fù)雜度和成本可能也會上升，例如，令牌的管理會變得困難而昂貴，而且每隔幾年他們需要更換系統(tǒng)。這些流程對那些沒有進(jìn)行適當(dāng)風(fēng)險評估的機構(gòu)非常關(guān)鍵，因為他們不清楚最重要的數(shù)據(jù)或資產(chǎn)是什么。而安全必須是用戶遵循規(guī)則后才能發(fā)揮效用，不影響正常生活且方便快捷的解決方案才是受歡迎的。靈活的可擴展性是評價多重身份驗證解決方案的另一個重要考量因素。

　　挑戰(zhàn)與未來

　　目前行業(yè)認(rèn)識到多重認(rèn)證解決方案供應(yīng)商是一個小市場。“更大的商業(yè)市場面臨的挑戰(zhàn)是，當(dāng)所有的基礎(chǔ)設(shè)施成本都需要考量時，用戶需要看到多重認(rèn)證解決方案的投資回報率。”Shane說。用戶對這種解決方案缺乏了解，這需要供應(yīng)商付出力進(jìn)行市場教育。“我認(rèn)為一個重要的挑戰(zhàn)是不正確的假設(shè)——多重認(rèn)證唯一可行的選項是一次性密碼(OTP)，并認(rèn)為如果選擇OTP不適合，那么就沒有其它的替代品。事實上這是不正確的，有大量的替代品。”Lovelock指出，“我們需要摒棄過去的觀點，并且教育人們替代方案是什么，降低部署及管理成本，提高安全技術(shù)水平，及提供更好的可用性。”

　　盡管存在這些障礙，多重認(rèn)證市場的增長潛力是巨大的。“美國政府提供資金將安全閥值從HSPD-12升級通過為OMB 11-11，這筆錢將會去安裝多重身份驗證解決方案。一些專業(yè)應(yīng)用正在嶄露頭角。例如，醫(yī)療市場正在尋找非接觸式設(shè)備來確保保持清潔和無菌的環(huán)境。這種非接觸式的解決方案將采用虹膜，手掌靜脈，或面部識別等身份驗證技術(shù)。”Focke說。

　　而HID Global預(yù)測，非接觸式設(shè)備認(rèn)證和嵌入式認(rèn)證將會有增值應(yīng)用。NFC技術(shù)將有助于打開基于非接觸式認(rèn)證設(shè)備的市場。” Lovelock認(rèn)為，“我們將看到嵌入式憑證的增長，在終端設(shè)備如筆記本電腦、平板電腦、手機等都能夠隨時安全的存儲和使用憑證的區(qū)域。”

　　同時，基于軟件的認(rèn)證解決方案正在快速崛起。因為當(dāng)今有許多新興的應(yīng)用(例如，員工和客戶要求安全的遠(yuǎn)程訪問)是不利于傳統(tǒng)的基于硬件的身份認(rèn)證解決方案。

　　“隨著人們對安全問題的擔(dān)憂以及新的監(jiān)管要求，身份認(rèn)證是一個成長中的行業(yè)。這種增長將導(dǎo)致一系列的認(rèn)證解決方案，如硬件標(biāo)記、智能卡、生物識別技術(shù)、手機短信以及其他的一些方案，均將在市場上展開激烈的競爭。”Cardell指出。