双重身份验证并非万全之策

身份验证至少需要用户提供三个典型信息类别中的一个：你所知道的（信息），你所拥有的（物品），或者属于你本人的（属性）。经典的身份验证信息是密码或者PIN码，这是你所知道的信息。而你所拥有的身份验证信息可能是一个安全磁卡或者手机。而各种生物信息，比如指纹，就是属于第三类验证信息了。

传统的身份验证系统只需要一种验证信息，比如密码。而双重验证需要用户提供两类可以证明身份的信息。由于用户同时丢失两类身份证明信息的可能性远远低于丢失一类身份证明信息，因此这种双重验证身份的方式可以大大降低系统所面临的安全风险。不幸的是，每一类身份验证方法都存在自身固有的不足，对于一个坚定的入侵者来说，每种身份验证方式是否能够真正阻止未经验证的用户进入系统还是个未知数。

密码

密码，PIN码或者其他输入码都是属于第一类身份验证信息类别，即你所知道的信息。这类信息还可以是母亲大人的姓名（可以用来通过电话核实用户身份），网络银行密码或ATM／信用卡的PIN码。使用这种类别的验证信息所存在的一个最大的问题是，用户很可能将信息记录在纸上甚至直接告诉别人。很多人都记不住复杂的密码，但是简单的密码又很容易被破解。只要在网络上搜索一下或者进行一些社会学方面的工作，身份窃贼就可以轻松地获取受害人的各方面信息，比如父母的姓名，第一个宠物的名字，学校的名字等等。双重身份验证模式一般是采用密码或PIN码，外加另一种身份信息类型。一个最典型的双重验证的例子就是ATM机，需要用户输入密码（用户所知道的信息）的同时还必须拥有银行卡（用户所拥有的身份证明）

在高风险环境中，单独使用密码进行防护是非常不可靠的。

智能卡和USB令牌

智能卡和USB令牌属于第二类身份验证信息，即你所拥有的物品。这类物品基本上都是通过内部的存储空间保存用户的身份信息。另一些智能卡还包括电子标签，这些产品主要被用作建筑物的门禁系统，每张卡上包含一个唯一的ID号码，系统通过读卡设备批准或拒绝该智能卡。由于涉及到硬件设备，因此选择这种身份验证方式需要考虑到购买，部署，更新和管理的费用问题。由于智能卡本身体积小巧，很容易丢失，因此还需要有注销以及重新发放的过程。在一张门卡被挂失前，可能已经被不法人员利用了。这种硬件令牌形式的身份验证模式可以与生物信息或者密码方式结合使用。比如我最近看到有的机构使用USB令牌加个人指纹的方式进行身份验证。也许很快就会出现三重验证方式了。

一次性密码

一次性密码（OTP）狗与RSA的SecurID 类似，可能是双重身份验证模式中最好的一个组成部分了。每个OTP狗都会每六十秒（或者每次按下按钮）显示一个伪随机密码。这个随机码与PIN码结合就可以进行身份验证。和硬件令牌形式一样，这种一次性密码狗也是属于用户所拥有的物品，同样面临安装和维护方面的成本问题。

生物特征

生物学验证方式是采用个人的生物学特征进行验证的方式，属于第三类身份验证类别，即属于你本人的属性。常见的物理形式的生物学特征验证是视网膜扫描和指纹扫描验证。如果生物学验证方式是在一个受控的环境下进行的，比如有保安人员监视验证过程，那么这种验证方式是相当安全的，但是仍然不是无懈可击。在一个“正常”的身份验证环境下，一个设备精良的入侵者可以很轻松的复制各种生物学信息，比如指纹、视网膜，甚至面部特征。在使用生物身份验证系统的机构中，员工的人身安全成了重要问题。一些欠缺技巧的入侵者甚至采用暴力手段获取他人的生物识别信息。比如在马来西亚就发生过匪徒切下司机的食指以便能启动带有指纹识别系统的奔驰车的案件。虽然读取生物特征的设备价格昂贵，但是部署生物识别系统的潜在成本要低于OTP或者基于令牌的解决方案（目前很多笔记本都带有指纹读取设备）。对于生物识别系统来说，生物特征数据的存储以及相关的数据安全性成为了重要问题。

手机

很多公司现在都正在考虑采用手机作为身份验证途径，这其实也是属于第二类身份验证类别，即你所拥有的物品。现在基本上所有人都随身携带手机，因此如果将手机作为个人身份识别的令牌，就可以让用户不必携带专门的身份卡，企业也可以降低部署身份识别系统的成本。很多远东地区的银行都通过客户的手机短信方式提高了防御在线欺诈的安全能力。用户首先使用自己的银行卡和PIN码（已经是双重验证模式了）在ATM机上注册自己的手机号。之后用户的银行卡在进行在线交易时，会给手机发送一个验证码，用户收到这个验证码并将其输入系统才能完成整个在线交易过程。另外，这个验证码具有一定的时效性，这就避免了用户在短期内进行多次在线交易时重复验证的麻烦。但是和其他ID卡之类的验证方式一样，手机也存在着被盗或丢失的情况。而且由于手机网络运营商并没有对SMS短信进行加密，因此通过手机短信传递验证码还存在着一定的安全风险。

我认为，不论什么样的验证方式，最符合实际需求的验证方式应该是那些风险和成本平衡的方式。那么双重验证系统真的能在增加成本的情况下杜绝风险吗？根据CNET News.com编辑Robert Lemos的观点，双重身份验证仍然不能彻底解决身份盗用问题 。在文章中他引用了Counterpane Internet Security公司的Bruce Schneier的观点。Schneier认为应该鼓励服务供应商提供更加稳定和长久的解决方案：“对于交易诈骗，有两个策略：要么让身份信息更加难以被盗用，要么就让身份信息不再承担关键性的角色。我认为第一种方式很难实现。”

目前的身份验证方式，就我所知还没有绝对安全的。对于一个有耐心和决心的入侵者来说，只要有足够的时间和资源，双重身份验证方式也挡不住他。不论是通过社会学的欺骗方式获取密码，还是盗窃手机或者其他物理设备，甚至是抢劫绑架等，都是可能的。但是不管怎么样，双重验证方式确实加大了入侵者冒用别人身份的难度，成本和时间。因此我觉得虽然双重身份验证方式不能从根本上消除身份盗用或者数据流失，但是在安全方面确实有积极的作用。

（责任编辑:陈毅东）