何为双因素认证？

　　双因素认证采用两级认证方式，它包括一个"口令牌"，口令牌动态生成的密码与系统生成的密码相同时，系统才会得到确认。我们所有的口令牌都是针对更高安全级别，使用"动态密码技术"来生成真正的一次性密码。这种一次性密码的优点是，任何一个攻击者取得（例如通过窥视）的动态密码在用户使用过后都不能再进行下次网络认证，因为它已经不再有效。

　　为了进一步加强安全性，用户在登录网络时，可以与密码一起键入一个PIN码（通常叫做SoftPIN，以为它是基于软件的）。例如Secure Computing的SafeWord Platinum口令牌就要求用户往口令牌中输入一个PIN码来激活它。这种口令牌提供了最高级别的安全，当安全需求非常紧迫时，我们建议你使用这种认证方式。

　　口令牌基本上有两种认证方式：事件同步、时间同步和异步（挑战应答）几种。为了简单起见，我们以时间同步认证为例进行说明。

　　时间同步的认证器在一段固定的时间内--通常是一分钟--也可以生成一个唯一的、动态的密码。这种认证器也非常便于使用，因为它们一直开启着，不间断地生成不同的密码。同时，密钥和加密体系保证了认证器生成的密码是唯一的。

　　因为时间是不断变化的，那么在原则上说每一次认证尝试都要使用一个唯一的密码。但是实际上却存在一个密码可能被多次使用的风险。主要是由于，服务器和口令牌之间为了保持严格的同步，口令牌不得不处于时时开启的状态。因为所有的时钟都容易有时间漂移的情况发生，所以必须要周期性再同步服务器和口令牌。通常情况下，为了防止时间漂移造成同步的中断，进而造成认证的中断，这种"严格的"同步就必须要有一些轻微的放松，就是指定一段很短的动态密码的有效时间（不超过7分钟）。如果密码是在有效窗口时间内使用的，那么服务器就可以多次承认这个密码，由此导致了在短时内有不止一个用户使用这个密码的可能。这点结合了口令牌处于时时开启的状态，就给某些通过背后窥视到他人密码的人使用窗口的机会。也就是说如果其他的用户瞥到了口令牌上的密码，就可以给这个未授权的用户几分钟时间，在网络上使用这个密码并且作为合法用户登录。即使口令牌本身需要一个号码来激活，这点也是不可避免的。