安全認證，電話成首選

減少IT安全威脅和強化管控的要求推動了多因子認證應用的發展。新的和升級版本的多因子認證產品也越來越多地使用基于電話的認證來代替原先主導市場的安全令牌認證。根據信息安全和分析公司Goode Intelligence的分析，到2014年，基于電話的認證將占據多因子認證市場61%的份額。

一、什么是基于電話的多因子認證

認證是計算機系統主動識別用戶的過程，是今天計算機安全最薄弱的環節之一。由于脆弱的信任機制，偽造信任引起的計算機攻擊和網絡欺詐行為每天都在發生。隨著企業間的遠程訪問、云計算、電子商務和網上銀行應用的不斷增加，這些故事還將繼續發生。僅僅依靠用戶名和密碼的認證系統存在一系列的不足，眾所周知的如弱密碼、利用鍵盤記錄軟件盜取密碼、網絡仿冒和中間人攻擊等等。

多因子認證為用戶登陸和交易增加了關鍵的第二個安全層，它的使用要求滿足以下兩個或兩個以上條件：

1.你知道的事情（密碼是典型代表）

2.你有的物品（不易復制的可信硬件）

3.你自己的特征（生理特征）

多因子認證的安全性在于其分層的訪問。多個認證因子的綜合運用使得攻擊者面臨重大的挑戰。因為即便攻擊者設法獲取用戶的密碼，沒有可信設備同樣毫無用處。反之，如果用戶不小心丟失了設備，除非知道用戶密碼，否則撿到的人也無法使用。

目前，安全令牌還是多因子認證系統的主導，比如RSA的SecurID。安全令牌利用硬件的令牌生成一個一次性的密碼，用戶在登陸界面中輸入這個一次性的密碼，從而證明自己是這個可信設備的所有者。盡管安全令牌比單因子認證多了一個安全層，但增加了IT部門和終端用戶的攜帶負擔。此外，更復雜的、能夠攻破安全令牌的威脅也已經出現了。

基于電話的認證系統以用戶的電話作為可信設備，充當第二個認證因子。因為電話非常難以復制，而且電話號碼也極其難以攔截，所以用戶名密碼再加上電話就能構建牢固的多因子認證系統，而且對用戶的影響也最小。

二、基于電話的多因子認證的認證方式

基于電話的多因子認證運用多種帶外方法（電話、短信和推送）和OATH密碼，對用戶進行認證，具有平臺統一和高度靈活的特征。對于特定的用戶和風險級別，還可以選用額外的安全措施，如PIN模式、聲波紋和交易確認等。

電話：自動拔打用戶電話，確認設備掌握在合法用戶的手中，用戶接聽電話后按下特定的按鍵，如“#”鍵進行認證。

短信：向用戶手機發送一條包含一次性密碼的短信，用戶用該密碼回復短信進行認證。

推送：向用戶智能手機或平板中安裝的APP推送通知消息，用戶點擊APP中的“認證”按鈕進行認證。

OATH密碼：用戶在登陸界面中輸入移動應用或第三方OATH令牌提供的密碼進行認證。

PIN模式和聲波紋：要求用戶對一個私有PIN進行驗證以確保用戶是手機的合法所有者。對于三因子認證，要求用戶在電話中回答出私有口令以對其聲波紋進行驗證。先進的聲音生物技術可以對聲波紋進行精確、可靠的認證。

欺詐警告：如果用戶收到的登陸或交易確認請求認證不是由自己發起的，只要在電話或短信中簡單地輸入特定內容，如“110#”或在手機應用中點擊“拒絕并舉報”按鈕，就能鎖定賬戶并向公司防欺詐部門發出警告。

三、基于電話的多因子認證的優勢

采用常用的電話作為登陸和交易的安全保障，能給終端用戶和IT部門帶來一系列的好處。與其它方案相比，能給用戶帶來無與倫比的便利性，對企業、政府部門、醫療組織和金融機構來說，也有成本低廉和安全的優勢，并且構建容易、部署迅速、后期維護少。

（一）吸引用戶

電話天生就是用戶友好的設備，即使行動不便的人也能使用。我們每個人都知道如何使用電話，所以也不需要對終端用戶進行培訓。

手機現在已成為大多數人每天生活都不可或缺的組成部分。如果手機沒帶在身上的話，我們甚至都不敢離開手機走到其它的房間。既然隨身攜帶電話，那用它進行認證也就是自然而然的事了。安全令牌和其它的雙因子認證設備容易丟失或忘記攜帶，況且用戶也不想身上帶一堆東西。而手機即便丟失，也能就近買到替代的。

用戶希望使用任何設備都能自由登陸，如家用電腦、便攜式計算機和移動電話，也希望在任何地方都能登陸，如咖啡館、機場、遠程辦公室和客戶端網站。多種多樣的設備和連接方式給IT部門提出了重大挑戰，并且用戶對方便性的要求還在日益增加。基于電話的認證恰恰能提供這種靈活性，一個電話可用于任何應用、任何設備和地球上任何地方進行認證。

（二）安全可靠

電話的根本用途是相互通信，因而能提供諸多其它方式所不能提供的可靠的多因子認證方法。并且，隨著電話技術的進步，能提供的認證方法還在不斷增加。此外，由于電話采用獨立的設備和通道，這種帶外對第二個因子進行認證的方法能有效避免中間人和瀏覽器中間人攻擊。

電話網絡提供了動態的雙向通信通道，從而可以驗證特定的信息，為安全增加了多一層的保障。重要的登陸和交易細節可以轉發給用戶進行再次確認。只有基于電話的、帶外的解決方案才使得這種雙向通信不僅可行，而且安全。

這種開放的通信方式還能實現對第三個認證因子的精確確認。在打電話進行認證時，如果同時對用戶的聲波紋進行匹配，就實現了生物學特征認證，還能節省指紋掃描器之類的硬件設備。

（三）成本低廉

安全令牌需要生產、運輸、庫存和更新換代，需要IT資源來部署和支持。安全令牌每年的丟失率達10%，每2-5年就必須對過期的令牌進行更換，這些IT部門的支出都是令牌解決方案總成本中的材料成本。

基于電話的認證不需要部署設備，能快速應用于大量的、分布在不同地區的用戶，并且建設和維護的成本也低。

（四）可伸縮性

基于電話的多因子認證在現有的認證過程上增加了一個步驟。如果用戶名和密碼正確，數據中心的服務就會收到一個SSL請求，然后通過撥打電話、發送短信或向用戶手機推送提示消息等手段，對用戶進行認證，根據用戶的回應確定是否通過認證，并將認證結果發送給用戶。由于服務由數據中心和電信網絡提供支持，對單位來說，并未增加額外的軟件和硬件，因此用戶增加時，無需增加任何軟件、硬件設施，易于擴展；反之，當用戶減少時，系統也能方便地進行縮減。

（五）易于集成

基于電話的多因子認證能與遠程訪問VPN、單點登陸、云應用、網上銀行、網站和定制應用等進行快速集成，具有高度的適應性。比如：

內建對Citrix，Tivoli，Cisco VPNs，Outlook Web Access，終端服務和IIS服務的支持。

Java，.Net，PHP，Perl，Ruby和web服務開發包的Web插件。

統一Web網關，為所有網站提供認證層而無需進行任何修改。

結語

基于電話的多因子認證不僅能克服傳統的基于安全令牌的認證系統的固有缺陷，而且還有多因子認證的高安全性和獨一無二的易用性，能以較低的投入達到減少數據安全風險的目的，在技術上處于領先地位，成為越來越多企業應對安全威脅和不斷增加的用戶的首選，并且這種市場的轉變還在加速進行。

-胡曉慶