四、Q/A

　　1.现实中有很多网游密码被盗的问题，有一种密保卡，所对应的一个方阵，每次电脑上出现随机码，然后找到你相应的位置输入进去，以此来识别。还有一种电子的也是像那样一个小电子卡，用来保存这个密码，但这种卡片万一丢失的话?

　　·陈海林：

　　你提到的密保，有点像刮刮卡一样的，也是身份认证的一个技术，实际上这种技术就是看你在用这个技术的时候，你是使用单因素，还是双因素，服务器上面只是一个条带代码，那么它实际上是一个单因素认证，单因素认证，一定是比双因素认证的安全性差一点，如果说可能的话我是不是可以建议那个网游的公司使用双因素认证，除了你输入卡上的号的密码以后再加上你的一个静态密码，这样登陆网游的帐号，如果说万一我这个卡丢了，其他人捡到我这个卡的话，他可以根据这个码输入进去，但是他还是没有办法知道我脑子里面的静态码，这样他的应用程序安全级别就会有很大的提高。我建议尽可能的是采用双因素认证，它一定要比单因素认证的级别高。

　　2.当一个新员工入职的时候，他可能会办好多手续，里面包括要有各种帐号，那么他如果用同一个密码，他肯定非常的不安全，如果每个都不一样的话，那么这么多的号码又是非常繁琐的过程，员工离职的时候也是一样的，这么多的帐号你去管理的话也是非常繁琐的一件事情。那么该怎么样去处理这样一个问题?既要它安全，又要它简便，通过双重认证的话能不能解决这个问题呢?

　　·陈海林：

　　你刚才提到的这个需求，它的范畴相对来说比较大，实际上你所提到的这些内容就是说IT管理里面要做到身份管理、认证管理、授权管理，那么这些都是在安全的范畴里面的。如果说你要真正来实现你的需求你要做一个庞大的项目，然后在这个项目里面，你要做到一个完整的员工的生命周期的管理。包括他进入你的企业以后，那么你通过这个系统自动的在不同的系统里面创建帐号，自动在这个帐号里面给他分配相应的角色，他们就有相应的这些权限去访问不同的OA系统，财务系统，邮件系统，就是说这是一个非常完整，非常大的一个项目。

　　如果说你觉得这个项目相对来说比较难实现的话，我这边有两个建议：一个就是单点登陆，也就是说对你的员工来说，每个员工你给他发令牌，那么他可以把所有应用程序的用户名和密码，他可以起一个很复杂的密码，把这个密码所有的应用程序的密码保持在令牌里面，每天我去点击财务系统，点击OA系统，点击邮件系统的时候，他发现我这个Key里面有密码，自动的就帮我把用户名和密码填到登陆界面里面去了，我就可以直接登陆到应用程序里面去了，我每天有这个Key的密码我就可以登陆所有的系统，我这个系统密码可以起很复杂的，这是一种办法，那么它的好处是什么呢?我的应用程序不可以做任何的更改就可以实现了，直接定义一下应用程序的登陆的窗口就可以直接实现了，比较方便。

　　但是它只能帮你保管密码，没有办法很好提升你的安全性，没有办法做到双因素认证，底层还是单因素认证的。相对来说你比较注重安全性的话，就是采用我刚才说的建议，我在所有应用程序上面我嵌入双因数的令牌，然后我去访问这些资源的时候，我就必须要输入我的用户名，我的双因素认证的号码，包括动态码加上静态码，双因素认证码以后才能登陆到这个系统里面，如果把所有的资源都保护起来以后，每个员工拿着令牌，知道这个令牌的密码我就可以访问所有的程序，也是非常方便的。但是有一个嵌入的过程，如果是我自己开发的应用程序，你就要用到我们给你的一个开发包，嵌到应用程序里面，应用程序要做一点更改。它有一定的开发量。就是说短期来看，两种办法，都可以很好的来解决安全性的问题。