双因素认证——商务领航的安全灯塔

上海电信早在2003年初就意识到中小企业对信息化的巨大需求，并于2004年的世界电信日，推出了针对中小企业提供信息化服务的品牌——“理想商务”，也就是“商务领航”品牌的前身。上海电信“商务领航”企业信息化公共服务平台，汇集业界优秀的企业信息化应用及软件产品，通过互联网面向企业用户提供信息化应用租用服务（ASP）。考虑到中小企业迫切需要有一种优秀，而且价格低廉的企业信息化方式，以较低的成本和投资风险享用专业、先进的企业信息化服务，使其在信息化时代从竞争劣势中摆脱出来。基于这一现实，上海电信推出了“商务领航”企业信息化公共服务平台。目前，商务领航向用户提供的产品包括网络工具类、信息咨询服务类、企业推广商贸类、管理应用类、类行业解决方案。其中通行令牌被列入管理应用类产品中。

在商务领航产品中还没有部署通行令牌时，上海电信的企业级客户都是通过被分配到的商务领航平台帐号和密码进行登陆的。在这种方式中用户基本上不会经常改变密码，客户采用的安全措施就是“用户帐号＋密码”方式。虽然密码是大多数人如今最常用的安全措施，但是，它已经不再安全，而且成为黑客主要击的目标。

密码之痛

RSA信息安全公司曾对1000多名受访消费者做过对有关信息安全问题的调查，内容包括对信息安全的警觉性、电子交易安全的信心以及采用防范身份被盗用与电脑攻击的安全措施等多项问题。调查显示，接近三分之二的受访者（63%）正利用少于5个密码登入不同的系统存取电子信息，而超过十分之一（15%）只使用一个密码进入所有系统。这说明消费者有一个错误的观念，认为密码已能足够保护其个人资料。然而，破解密码在普通人眼里，好像是一件不可思议的事情。但是，在黑客面前，密码如同形同虚设。超级黑客利用密码破解工具等，在短短的数秒之内，就可以把密码破解成功。因此，通过用户名和密码的组合方式保护在线账户是一种非常脆弱的安全方式。

商务领航的普通用户和企业管理者目前都遇到了密码的困扰。随着安全意识和安全事件的不断发生，普通用户对安全认识也逐渐提升，他们开始为自身的网上安全担忧。以静态口令为基础的认证方式实际上存在着种种安全隐患。比如，密码容易被人猜测 、输入密码被人窥视 、密码工具破解、木马程序攻击、钓鱼网站欺骗等等。非法获取用户密码，冒充合法用户身份进入计算机系统的案例在我们身边发生的很多，造成个人信息和资源的丢失。

对于企业管理者们来讲，企业离职员工可能仍然还能通过他知道的静态口令访问原企业的内部信息和资源，从而非法获取公司的核心资料和商业机密。即使离职员工的密码失效，他还可以通过同事关系以及对公司安全机制的了解，找到进入企业信息资源的通道，成为企业信息安全的潜在隐患。因此，无论对于普通用户，还是企业的管理层，解除密码之痛，提高企业访问的安全级别，已经成为廹切解决的问题。