安全认证,电话成首选

【前言】安全认证,电话成首选由文秘帮小编整理而成，但愿对你的学习工作带来帮助。2.你有的物品（不易复制的可信硬件） 3.你自己的特征（生理特征） 多因子认证的安全性在于其分层的访问。多个认证因子的综合运用使得攻击者面临重大的挑战。因为即便攻击者设法获取用户的密码，没有可信设备同样毫无用处。反之，如果用户不小心丢失了设备，除非知道用...

减少IT安全威胁和强化管控的要求推动了多因子认证应用的发展。新的和升级版本的多因子认证产品也越来越多地使用基于电话的认证来代替原先主导市场的安全令牌认证。根据信息安全和分析公司Goode Intelligence的分析，到2014年，基于电话的认证将占据多因子认证市场61%的份额。

一、什么是基于电话的多因子认证

认证是计算机系统主动识别用户的过程，是今天计算机安全最薄弱的环节之一。由于脆弱的信任机制，伪造信任引起的计算机攻击和网络欺诈行为每天都在发生。随着企业间的远程访问、云计算、电子商务和网上银行应用的不断增加，这些故事还将继续发生。仅仅依靠用户名和密码的认证系统存在一系列的不足，众所周知的如弱密码、利用键盘记录软件盗取密码、网络仿冒和中间人攻击等等。

多因子认证为用户登陆和交易增加了关键的第二个安全层，它的使用要求满足以下两个或两个以上条件：

1.你知道的事情（密码是典型代表）

2.你有的物品（不易复制的可信硬件）

3.你自己的特征（生理特征）

多因子认证的安全性在于其分层的访问。多个认证因子的综合运用使得攻击者面临重大的挑战。因为即便攻击者设法获取用户的密码，没有可信设备同样毫无用处。反之，如果用户不小心丢失了设备，除非知道用户密码，否则捡到的人也无法使用。

目前，安全令牌还是多因子认证系统的主导，比如RSA的SecurID。安全令牌利用硬件的令牌生成一个一次性的密码，用户在登陆界面中输入这个一次性的密码，从而证明自己是这个可信设备的所有者。尽管安全令牌比单因子认证多了一个安全层，但增加了IT部门和终端用户的携带负担。此外，更复杂的、能够攻破安全令牌的威胁也已经出现了。

基于电话的认证系统以用户的电话作为可信设备，充当第二个认证因子。因为电话非常难以复制，而且电话号码也极其难以拦截，所以用户名密码再加上电话就能构建牢固的多因子认证系统，而且对用户的影响也最小。

二、基于电话的多因子认证的认证方式

基于电话的多因子认证运用多种带外方法（电话、短信和推送）和OATH密码，对用户进行认证，具有平台统一和高度灵活的特征。对于特定的用户和风险级别，还可以选用额外的安全措施，如PIN模式、声波纹和交易确认等。

电话：自动拔打用户电话，确认设备掌握在合法用户的手中，用户接听电话后按下特定的按键，如“#”键进行认证。

短信：向用户手机发送一条包含一次性密码的短信，用户用该密码回复短信进行认证。

推送：向用户智能手机或平板中安装的APP推送通知消息，用户点击APP中的“认证”按钮进行认证。

OATH密码：用户在登陆界面中输入移动应用或第三方OATH令牌提供的密码进行认证。

PIN模式和声波纹：要求用户对一个私有PIN进行验证以确保用户是手机的合法所有者。对于三因子认证，要求用户在电话中回答出私有口令以对其声波纹进行验证。先进的声音生物技术可以对声波纹进行精确、可靠的认证。

欺诈警告：如果用户收到的登陆或交易确认请求认证不是由自己发起的，只要在电话或短信中简单地输入特定内容，如“110#”或在手机应用中点击“拒绝并举报”按钮，就能锁定账户并向公司防欺诈部门发出警告。

三、基于电话的多因子认证的优势

采用常用的电话作为登陆和交易的安全保障，能给终端用户和IT部门带来一系列的好处。与其它方案相比，能给用户带来无与伦比的便利性，对企业、政府部门、医疗组织和金融机构来说，也有成本低廉和安全的优势，并且构建容易、部署迅速、后期维护少。

（一）吸引用户

电话天生就是用户友好的设备，即使行动不便的人也能使用。我们每个人都知道如何使用电话，所以也不需要对终端用户进行培训。

手机现在已成为大多数人每天生活都不可或缺的组成部分。如果手机没带在身上的话，我们甚至都不敢离开手机走到其它的房间。既然随身携带电话，那用它进行认证也就是自然而然的事了。安全令牌和其它的双因子认证设备容易丢失或忘记携带，况且用户也不想身上带一堆东西。而手机即便丢失，也能就近买到替代的。

用户希望使用任何设备都能自由登陆，如家用电脑、便携式计算机和移动电话，也希望在任何地方都能登陆，如咖啡馆、机场、远程办公室和客户端网站。多种多样的设备和连接方式给IT部门提出了重大挑战，并且用户对方便性的要求还在日益增加。基于电话的认证恰恰能提供这种灵活性，一个电话可用于任何应用、任何设备和地球上任何地方进行认证。

（二）安全可靠

电话的根本用途是相互通信，因而能提供诸多其它方式所不能提供的可靠的多因子认证方法。并且，随着电话技术的进步，能提供的认证方法还在不断增加。此外，由于电话采用独立的设备和通道，这种带外对第二个因子进行认证的方法能有效避免中间人和浏览器中间人攻击。

电话网络提供了动态的双向通信通道，从而可以验证特定的信息，为安全增加了多一层的保障。重要的登陆和交易细节可以转发给用户进行再次确认。只有基于电话的、带外的解决方案才使得这种双向通信不仅可行，而且安全。

这种开放的通信方式还能实现对第三个认证因子的精确确认。在打电话进行认证时，如果同时对用户的声波纹进行匹配，就实现了生物学特征认证，还能节省指纹扫描器之类的硬件设备。

（三）成本低廉

安全令牌需要生产、运输、库存和更新换代，需要IT资源来部署和支持。安全令牌每年的丢失率达10%，每2-5年就必须对过期的令牌进行更换，这些IT部门的支出都是令牌解决方案总成本中的材料成本。

基于电话的认证不需要部署设备，能快速应用于大量的、分布在不同地区的用户，并且建设和维护的成本也低。

（四）可伸缩性

基于电话的多因子认证在现有的认证过程上增加了一个步骤。如果用户名和密码正确，数据中心的服务就会收到一个SSL请求，然后通过拨打电话、发送短信或向用户手机推送提示消息等手段，对用户进行认证，根据用户的回应确定是否通过认证，并将认证结果发送给用户。由于服务由数据中心和电信网络提供支持，对单位来说，并未增加额外的软件和硬件，因此用户增加时，无需增加任何软件、硬件设施，易于扩展；反之，当用户减少时，系统也能方便地进行缩减。

（五）易于集成

基于电话的多因子认证能与远程访问VPN、单点登陆、云应用、网上银行、网站和定制应用等进行快速集成，具有高度的适应性。比如：

内建对Citrix，Tivoli，Cisco VPNs，Outlook Web Access，终端服务和IIS服务的支持。

Java，.Net，PHP，Perl，Ruby和web服务开发包的Web插件。

统一Web网关，为所有网站提供认证层而无需进行任何修改。

结语

基于电话的多因子认证不仅能克服传统的基于安全令牌的认证系统的固有缺陷，而且还有多因子认证的高安全性和独一无二的易用性，能以较低的投入达到减少数据安全风险的目的，在技术上处于领先地位，成为越来越多企业应对安全威胁和不断增加的用户的首选，并且这种市场的转变还在加速进行。

-胡晓庆