正在阅读：追求更高的安全性:2007年安全行业发展展望追求更高的安全性:2007年安全行业发展展望

• 双因子认证将开始大规模使用

　　双因子认证（2FA）是指结合密码以及实物（信用卡、SMS手机、令牌或指纹等生物标志）两种条件对用户进行认证的方法。这种方法已经为企业所采用，特别是在远程访问时，但在其它领域应用还很有限。双因子认证的推广之所以受阻，主要在于其需要使用额外的工具并且为IT和技术支持人员带来负担。其批评者还指出这种方法也容易遭受攻击，即在非常小的时间窗口内，易受到中间人（man-in-the-middle）攻击（这也是采用严格SSL处理的更多原因）。除了这些障碍以外，实际上现在我们已经开始认识到，不采用双因子认证所带来的隐含成本远远比采用双因子认证所需要的成本高得多。受到欧洲银行业的影响，以及欺诈行为带来的成本不断增加，美国金融机构将加快采用双因子认证的步伐，这一行动将会促使消费者更快习惯这一方法。为减轻必须携带专用双因子令牌设备所带来的阻力，可以利用现在无处不在的移动计算平台（如支持Java的手机或通过短信息服务传递的一次性口令）作为双因子客户平台。同时，就象欺诈带来的成本促使银行业采用双因子认证一样，这也是电子商务企业采用双因子认证的主要动力，电子支付行业团体，如PCI和APACS已经开始强制使用双因子认证。这一机制很快将会成为认证领域的通用作法，不久以后我们就会对仅仅采用密码认证的系统产生强烈的不信任感。

　　一般来说，在安全方面必须接受这样一个事实：并不存在任何形式的硬件或软件能够提供万能的安全解决方案。但这并不妨碍采取相应的安全措施：大门上的锁对“敲锁法”来说可能并不安全，而大门本身也耐不住斧头、锯子、火把或炸药的攻击，但即使这样你仍然不会因为安全系统不完美而始终大门敞开，或者根本不上锁。实际上，多采取一些安全措施会在攻击者和保护者之间的这场战斗中为我们增加一些胜算。当然，前提是这些措施是有效的，否则会造成一种虚假的安全感，反而会使事情恶化，因为用户会因此而警惕性变低。认识到这一点，最好的方式可能是改变游戏的规则，集中精力使数据窃取型犯罪不那么有利可图。

从根本上入手

　　双因子认证本身并不会使得窃取主密码更难，但它确实可以使窃取到的密码用处不大或根本没有用。同样，围绕面向服务的架构（SOA）和服务型软件（SaaS）的争论非常激烈，因此设计人员必须考虑采取切实的措施使得Web应用漏洞所导致的数据库非法访问无法用来牟利，比较可行的方法是对所有的数据进行有效的加密。当数据访问受到强加密保护时，盗窃物理设备（如笔记本、PDA或服务器）的价值就仅限于物理硬件本身。

　　让偷窃到的数据没有太大的价值并不是什么新创意，隐私和安全专家多年来不断在督促金融机构采取措施防止罪犯利用偷来的身份获取现金，至少使得获得现金比较困难。总之，并非您的姓名和社会安全号码具有价值，而是由于窃贼获得这些信息后可以比较容易地获得金钱。尽管促进金融行业认证系统采用更强的认证方式来代替简单的数据对比方式并不是我们能够控制的，但这并不意味着我们无事可做。作为消费者，我们应当在可行的时候尽量采用一次性信用卡密码；作为IT专业人员，我们应当积极欢迎新兴硬件和软件创新。抛开数字版权管理方面的讨论以及共谋理论不谈，采用可信计算工作组可信平台模块的工具，如微软Vista的BitLocker 和日立的DriveTrust，现在就已经可以使用了。与此前的软件或专有硬件产品一样，这些解决方案可以使被偷窃的数据立即失效，并且现在这些产品更易于使用。

　　早期使用者可能会发现，与任何其它增强安全性的努力一样，并没有完美的解决方案，通常还会带来相应的基础设施和支持成本。令人欣慰的是，对于从根本上消灭数据盗窃犯罪来说，这些只是必需支出的少量成本。

构筑安全线 企业防火墙精品导购
安全专家：钓鱼攻击数量首超病毒木马
UTM嫩芽--5款UTM产品横向比较评测