大家都知道用户名和密码这样的身份验证方式不是特别的安全,相对于一些你知道和拥有的身份验证方式来说,一些有安全意识的管理员更希望使用强双因素身份验证(2FA)。但如果要使用2FA系统,则需要一个硬件令牌。象这样基于令牌的系统,通常是一个会显示一次性密码的设备,而用户必须把密码做为身份验证的一部分提供给系统进行验证,这样的系统在实施和维护的时候需要许多的资源和精力。
这种令牌对大多数用户来说很昂贵,而且不便于企业外的用户管理,比如顾客和合同制员工。这是因为为了要使用这些设备,公司必须先采购硬件令牌,把它们配置好(以便随时使用),并且还要教用户它们的物理保护和使用方法,处理粗心用户丢失他们设备的问题。
但是最近在双因素身份验证上的一个创新可以缓解这些问题:无令牌双因素身份验证(T2FA)。T2FA不使用专用的硬件设备来传递一次性密码,相反,它使用用户已经拥有的并且很熟悉的设备,可以是用户的移动电话、家用电话、传真机、上网本或笔记本电脑、掌上电脑、智能手机或任何其他通讯设备。
无令牌双因素身份验证入门
为了使用T2FA服务,用户需要注册该服务,这可以通过一种自助式应用程序或Web门户网站完成。首先,用户根据T2FA服务管理员的要求输入他(或她)的个人信息以及其他附加数据来开始他(或她)的注册过程。在确认了用户的身份之后,组织可以根据他(或她)的角色或他(或她)希望访问的信息来验证用户是否需要高强度的身份验证。
如果用户需要高强度的身份验证服务,应用程序会要求用户输入他(或她)首选的通讯渠道信息,比如移动电话,这样就可以通过手机给他们发送密码。由于T2FA系统不需要用户在设备上安装任何软件,这就意味着通过T2FA实现的高强度身份验证与众多终端用户设备是兼容的,因此可以为公司在管理费用、用户培训以及技术支持上节约开销。
在成功完成注册流程后,每当用户使用用户名密码方式进行身份验证时,一次性密码会实时地通过短信、电话交互式语音应答(IVR)、传真或电子邮件服务自动发送到用户的首选通讯设备上。组织也可以选择另一个方案,即预先发送一次性密码到用户设备上,这样可以解决由网络延时造成的短消息延时和网络覆盖损失,比如,如果用户在一幢没有手机信号覆盖的大楼里工作,用户可以把这个预先发送的密码输入给系统验证服务来进行身份验证。这样的方案允许公司通过终端用户自己拥有并操作的设备而不是公司提供的设备,来使用高强度凭证验证用户的身份。
未来认证:双因素认证 vs 无令牌双因素认证
那么这难道意味着2FA正在走向灭亡吗?不是,在组织内部,这两种保护机制都有发展的空间。但在组织中,要根据使用者的角色和他(或她)的访问需求来决定使用的机制。对于那些需要频繁访问不同应用程序和门户网站(需要强身份认证)的用户来说,如IT管理员或系统工程师、全职远程员工、出差的员工、商业人士、医务专业人员和其它人员,如果通过他们自己的设备来等待接收密码,可能会太复杂或过于费时。但对于偶尔使用的用户来说,如合同制员工、顾客或一个因意外事件或坏天气而在家工作的员工,T2FA是一个更好的选择。
还有另一种情况,跨越经常使用和偶尔使用的用户的界限:就是员工使用虚拟终端服务的情况,“终端服务”是微软的瘦客户端终端服务器的实例,其中的应用程序或者整个电脑桌面,都可以通过一个远程客户机来访问。其它的选择方案包括Citrix系统公司的GoToMyPc和赛门铁克公司的pcAnywhere。这些服务变得越来越流行,因为很多公司合同雇佣第三方来远程开发和维护应用程序、服务器以及网络设备。由于和终端服务相关联的权限很大,而且事实上,一旦通过了身份验证,用户就可以访问敏感的内部应用程序和数据,因此需要使用高强度身份验证服务来保证它们的安全。通过使用T2FA,远程员工只需要通过手机接收密码短信,就可以在登陆到终端服务的时候,确保他们是被授权访问公司内部资源的。
那么T2FA存在的问题是什么呢?那就是,当使用电话和掌上电脑的时候,T2FA服务只有在每个移动设备的网络覆盖情况良好时才能正常工作。此外,为了接收到密码,象手机这样的设备必须有电而且可以正常运行。而且,手机上的服务并不都是免费的,使用频率高的用户可能因为在手机或掌上电话上请求密码而很快用完短信费用。由于公司并不管理终端用户的设备,所以它必须创建可以允许用户修改指定首选通讯渠道的应用程序或服务,有时候这种情况特别多,尤其是在用户无法访问他(或她)的普通设备的时候。组织还应该牢记这点,电话和一次性密码设备等并不只是在公司内部使用,而是随着用户到他们的家里、购物中心、海滩或是其它一些地方。由于存在潜在的丢失风险,组织必须创建和培训关于报告丢失和转移这些设备服务的流程。
因此,尽管部署T2FA存在挑战,能够在组织内部混合使用2FA和T2FA意味着为了满足特定需求、预算和工作模式,高强度认证要求可以进行定制。对于那些不具备支持一种或两种高强度身份验证方式技术或基础设施的组织来说,厂商也可以向他们提供了主机托管服务,如Signafy公司、Positive网络公司和Authentify公司。使用基于云技术的服务意味着组织可以享受两个方案的好处,并根据特定用户的需求来选择合适的身份验证。但最终,除了降低管理硬件令牌所需的成本和时间外,随着创新商业模式对联合劳工和设施进行远程工作的需求的增加,对T2FA的需求也会增加。
【编辑推荐】
