双因子认证机制

转自http://baike.baidu.com/view/1298637.htm

　　双因子认证（2FA）是指结合密码以及实物（信用卡、SMS手机、令牌或指纹等生物标志）两种条件对用户进行认证的方法。这种方法已经为企业所采用，特别是在远程访问时，但在其它领域应用还很有限。双因子认证的推广之所以受阻，主要在于其需要使用额外的工具并且为IT和技术支持人员带来负担。其批评者还指出这种方法也容易遭受攻击，即在非常小的时间窗口内，易受到中间人（man-in-the-middle）攻击（这也是采用严格SSL处理的更多原因）。除了这些障碍以外，实际上现在我们已经开始认识到，不采用双因子认证所带来的隐含成本远远比采用双因子认证所需要的成本高得多。受到欧洲银行业的影响，以及欺诈行为带来的成本不断增加，美国金融机构将加快采用双因子认证的步伐，这一行动将会促使消费者更快习惯这一方法。为减轻必须携带专用双因子令牌设备所带来的阻力，可以利用现在无处不在的移动计算平台（如支持Java的手机或通过短信息服务传递的一次性口令）作为双因子客户平台。同时，就象欺诈带来的成本促使银行业采用双因子认证一样，这也是电子商务企业采用双因子认证的主要动力，电子支付行业团体，如PCI和APACS已经开始强制使用双因子认证。这一机制很快将会成为认证领域的通用作法，不久以后我们就会对仅仅采用密码认证的系统产生强烈的不信任感。
　　一般来说，在安全方面必须接受这样一个事实：并不存在任何形式的硬件或软件能够提供万能的安全解决方案。但这并不妨碍采取相应的安全措施：大门上的锁对“敲锁法”来说可能并不安全，而大门本身也耐不住斧头、锯子、火把或ZY的攻击，但即使这样你仍然不会因为安全系统不完美而始终大门敞开，或者根本不上锁。实际上，多采取一些安全措施会在攻击者和保护者之间的这场战斗中为我们增加一些胜算。当然，前提是这些措施是有效的，否则会造成一种虚假的安全感，反而会使事情恶化，因为用户会因此而警惕性变低。认识到这一点，最好的方式可能是改变游戏的规则，集中精力使数据窃取型犯罪不那么有利可图。