引言：雇員利用智能手機、平板電腦、上網(wǎng)本等移動設(shè)備可以便捷地遠程訪問公司的計算資源。但移動設(shè)備的使用有可能產(chǎn)生一些被攻擊者利用的漏洞或訪問敏感信息的弱點，從而損害安全性。因而，對于移動設(shè)備的遠程訪問，多數(shù)專家建議企業(yè)至少利用某種形式的雙重身份驗證(雙重認證)。

三問移動身份驗證部署

雙重認證無論對于用戶還是企業(yè)都是一個現(xiàn)實的難題，因為它增加了企業(yè)身份驗證的復(fù)雜性。如果實施不力，雙重認證未必比單重認證強健很多，有時反而會耗費更多的時間和資源。

下面將闡述為了設(shè)計、實施、部署可行且安全的移動設(shè)備雙重認證方案，企業(yè)IT需要注意的三大要領(lǐng)：

首先，企業(yè)要對所有的移動設(shè)備尋求單一的解決方案。

不妨考慮一下用于工作場所的不同移動設(shè)備類型;筆記本電腦、上網(wǎng)本、智能手機、平板電腦等，其品牌眾多，更別說其中還分為企業(yè)發(fā)給員工的設(shè)備和員工個人自己帶來的(BYOD)。

有些用戶可能使用企業(yè)發(fā)的筆記本電腦，同時還帶著個人的平板電腦、智能手機等。要求這些用戶對每一種設(shè)備都使用不同的雙重驗證是不現(xiàn)實的。不妨設(shè)想一下，員工需要帶著不同的加密令牌，還要記住幾個不同的口令或PIN，并且要記住哪些令牌和PIN適用于哪種設(shè)備。

為實現(xiàn)可用性，IT應(yīng)該針對所有移動設(shè)備，考慮使用單一的遠程認證方案。企業(yè)自有的筆記本電腦可以例外，當(dāng)然，企業(yè)自有的這些設(shè)備最好是擁有內(nèi)置的雙重認證功能(如智能卡或生物識別閱讀器)。如果企業(yè)能夠避免使用多種雙重認證系統(tǒng)，那么操作處理將會更平滑。

其次，不要忘了移動設(shè)備和網(wǎng)絡(luò)的安全性。

移動設(shè)備(尤其是智能手機和平板電腦)一般都缺乏其它計算設(shè)備所擁有的安全特性。然而，許多雙重認證方案主要依賴移動設(shè)備的安全性來實現(xiàn)認證的安全性。

例如，軟件加密令牌將共享密鑰或加密密鑰存儲在移動設(shè)備上。在很多設(shè)備上，這種密鑰基本沒有得到防御惡意軟件或人為發(fā)現(xiàn)的保護。理想情況下，這種密鑰應(yīng)當(dāng)存儲在移動設(shè)備中的可信任平臺模塊(TPM)內(nèi)部，但仍有一些移動設(shè)備并不支持可信任平臺模塊(TPM)。因而，實施不依賴本地存儲的雙重認證方法(例如，基于圖像的認證)是明智之舉。

網(wǎng)絡(luò)安全是需要考慮的另一個問題。我們一般都會想當(dāng)然地認為手機網(wǎng)絡(luò)不會受到監(jiān)視，但攻擊者當(dāng)然有能力這樣做。這意味著以明文方式發(fā)送敏感信息的雙重認證方法(如通過短消息發(fā)送的一次性口令)有可能將這種信息暴露給攻擊者。

企業(yè)應(yīng)考慮針對遠程訪問方法的威脅，如果有必要，要對通過移動設(shè)備發(fā)送或接收的所有敏感信息進行嚴(yán)格加密。

第三，防御蠻力攻擊和拒絕服務(wù)攻擊。

在使用雙重認證時，企業(yè)IT不應(yīng)同時驗證兩個因素，而應(yīng)首先驗證一個因素。如果此驗證成功，再去驗證第二個因素。這種做法可以防止蠻力攻擊、拒絕服務(wù)攻擊和包含多次登錄企圖的其它攻擊。

例如，如果第一個認證因素是用戶名和口令，就易于被鎖定，攻擊者可以輕松地在遠程訪問網(wǎng)關(guān)猜測用戶名和口令的組合，并且鎖定合法的用戶賬戶。如果是其它因素第一認證，攻擊者就必須在嘗試用戶名和口令認證之前提供此認證。

換言之，用戶名和口令認證應(yīng)當(dāng)能夠?qū)剐U力攻擊和拒絕服務(wù)攻擊。完成此功能的一種有效方法就是在認證嘗試期間實施一種遞增延遲。例如，在一次認證嘗試失敗后，要讓用戶等待兩秒鐘才能再次嘗試。如果第二次嘗試失敗，就將延遲時間增加到四秒。第三次嘗試失敗，則增加遲延時間為八秒，依此類推。

D1Net評論：

客觀來說，以上這種做法可以防止賬戶被攻擊者鎖定，同時又可以使認證嘗試的次數(shù)達到最小化。監(jiān)視軟件應(yīng)當(dāng)檢測連續(xù)的認證嘗試，并且通知管理員進行干預(yù)。