随着公司的成长，它对于安全的需求也在增长。下面是一些认证策略的介绍，供你在选择时参考。

任何计算机或者网络安全策略的基础都是访问控制（access control）——让那些有权利访问网络资源的人能够顺利使用，而把其他的人阻挡 在外。访问控制的基础在于能够认证那些授权用户的身份；否则任何入侵者都能够假冒CEO John Smith或者Mary Jones的帐户，登陆网络。

认证网络用户身份最简单的方法是让他们输入与帐户名对应的密码。理论上说，每个用户都只能够知道自己的密码，所以如果用户输入了正确 的密码，身份认证就完成了。

密码认证是绝大部分小型企业使用的认证方式。这种方式非常简单而且便宜，操作系统中都内置了这样的认证方式。你不需要购买任何其他的 设备或者软件。它就可以开始工作了。

对于大部分对安全性要求不高的小型企业来说这已经足够了。如果你的网络中没有任何重要的商业机密、保密用户信息（比如信用卡号或者信 用卡记录）、敏感的员工信息（比如医疗记录或者社会安全号码）等等，你就不需要再在认证上花更多的钱。

企业成长增加了安全需求

问题在于随着公司的成长，对于安全的要求也通常会随之提高。在你的公司中有越来越多的数字化记录，你获得的政府定单或者需要进入某些 管制领域，比如卫生保健、金融服务等等。这时，你的企业需要达到更高标准的法规要求或者隐私防护水平，或者两者兼而有之。公司规模变 大了，所以也就更有可能成为黑客或攻击者眼中的目标，也许以前他们可能对你的网络毫无兴趣。公司的办公范围扩张了，雇佣了更多的员工 ，并且实施了远程访问解决方案，允许员工从家里或者在路上访问公司网络，所以对于陌生人来说，混入或者突破你的网络也变得更为容易。

从这个角度说，你可能需要开始考虑网络安全性。你可能会购买更贵的防火墙和入侵检测系统来防范攻击。但是这并不能够阻挡那些技巧高超 的天才黑客进入你的网络。很多入侵者不需要编写代码或利用安全漏洞，他们只要使用社会学的办法（人文技巧）就能够找到合法的用户名和 密码。

这些试图突破规则的人很早就出现了。窃取身份不光是一个技术问题，而软件完全按照假定的方式在工作，只有当收到了正确的密码，认证了 用户身份之后才允许进入。这是人的问题：人可能被直接或者间接地胁迫、迷惑或者被诱导说出自己的密码。教育可以减少这些情况的出现， 但是只要人性不改变，一些弱点总是可能被利用。因此，它属于技术解决方案的范畴。

多因子认证把认证过程变得更复杂。密码认证仅仅是认证的一个环节；它要求你提供一些你应该知道的东西（密码）来证实你的身份。而多因 子认证却需要你提供密码或者PIN（Personal Identification Number，个人身份识别码），但这也只是其中一个步骤，它还需要你提供其他的 内容。这些内容可能是：