二、联合挑战：深入剖析身份认证

　　·陈海林：

　　目前为止，最普遍的身份认证的方式就是用户名加上密码来登陆系统，这种方式最普遍，但是它的问题安全性是非常非常低的，我可以通过各种各样的办法来破解，或者说我可以获得你的用户名和密码，办法有很多，我可以通过木马，我可以通过暴力破解，我可以通过猜测，我可以通过对操作系统的漏洞来获得你的应用程序的用户名和密码。所以说密码用得最普遍，但是它的安全性是非常非常低的。

　　所以说在企业里面IT的管理人他就必须要想尽办法来加强身份认证的一个安全的机制。那么他想到了证书，想到使用数字证书，如果说你把这个证书放在硬盘里面，或者放在浏览器里面，它安全性上面肯定比以前的密码好一点，但是有问题的话还不是最安全的一个解决方案，什么才是安全的解决方案呢?

　　我们这边推荐的就是双因素身份认证，双因素身份认证由两部分组成，你所拥有的一个硬件设备，加上你所知道的一个静态的密码，那么这两者就组成了一个双因素身份认证的一个概念，那么你在做双因素身份认证当中用的比较多的，像网民，插进电脑以后输入密码你就可以用里面的证书来做身份认证了，还有一种方式使用一次性密码的令牌，每次用的时候按一下这个按纽，生成六位数的动态码，这个号码用过一次以后就作废掉了，你下次再用的时候需要再按一次按纽，重新获得新的身份认证，其他黑客要冒充你的身份就会非常非常的困难，所以这就是一个双因素身份认证的机制，你所拥有的硬件设备加上这个设备所对的那个PIN码获得，你加上一个生物特征，指纹来进行身份认证，在企业里面用的比较多的是双因素的身份认证。

　　一次性密码的这样一个令牌，每次使用非常方便，用这个动态码作为身份认证，令牌也有多种机制，有硬件令牌，有软件令牌，硬件令牌生成号码原理的机制是不一样的，有时间同步的，有事件同步的，也有应答的令牌，有人说我每天带着这个令牌太麻烦，是不是可以用手机来做身份认证呢?也可以，你的解决方案比较好的办法还可以把这个灵牌做成一个软件的形式把它安装到你的手机上面，我只要拿着手机运行里面的软件令牌的应用程序，我也一样可以获得六到八位的动态码，也可以用它作为身份认证。如果说你觉得在手机上面安装软件还是太麻烦的话，我需要拿到手机就可以做认证可不可以呢?也可以，你可以通过以短消息的形式发到手机上面，这个手机只要在任何时候上网就可以获得这个身份认证了，身份认证的技术也非常非常多，硬件的，软件的，短消息的，那么对客户来说他有很多很多不同的选择。

　　此外，企业里面一定会有很多的重要的应用程序是要保护的，有各种各样的防火墙，各种各样的网络设备，各种各样的操作系统，登陆这些资源的话你都可以用令牌的技术把它保护起来，那么以前用户登这些系统的话很麻烦，不同的系统我有一个密码，登不同系统的话我要借很多很复杂的密码，现在很方便了，把所有的系统全部用动态令牌保护起来的话，不管登哪一个应用程序都可以用同一个令牌的密码，可以登所有的应用程序，所以对我来说只要记一个令牌的密码就可以了，反而对他来说安全，同时又很方便。这就是一个双因素身份认证的技术。

　　·张琦：

　　除了企业当中的应用，实际上在电子商务的过程当中这些令牌已经很普遍了，这些令牌在使用的时候，刚才您也提到了单点登陆的问题，咱们更多见到的不同的几种，低端的这种只能是里面有一个证书，里面只能存储一个证书，它的算法还是把它提出来放在计算机内存里面进行计算，这时候容易泄露的;高端一点的产品，是多个证书，这里面通过自己的芯片运算这个是不进入到计算机的，所以它的安全性，很多有都说我自己可以做一个证书，做一个CA，这样把证书倒到计算机里面，但是证书是可以被导入导出的，而往往大家在证书的时候，在导入证书的时候需要输入密码，而大家所有人的意识是这样的，就是说我用户名的密码跟导入证书的密码是同样的密码，所以在使用证书的时候也出现了黑客使用证书登陆到系统，他既然已经猜到了第一层密码，后面证书导入的密码也猜到了，但是好一点的产品就是可以放多个证书，本身它的算法跟计算机没有关系。