當(dāng)前，數(shù)據(jù)和身份盜竊已經(jīng)達(dá)到了空前的水平，這對企業(yè)網(wǎng)絡(luò)和個(gè)人的威脅都是非常大的。隨著我們不斷擺脫單純地依靠口令保護(hù)接入重要任務(wù)系統(tǒng)或敏感的數(shù)據(jù)，更多的企業(yè)正在轉(zhuǎn)向基于電話的雙因素身份識別，因?yàn)殡娫捑W(wǎng)絡(luò)能夠使這種應(yīng)用更加方便并增加安全性。PhoneFactor公司共同創(chuàng)始人和首席技術(shù)官Steve Dispensa介紹了如何使用基于電話的雙因素身份識別阻止對企業(yè)網(wǎng)絡(luò)的攻擊。

    當(dāng)一個(gè)用戶用他的口令中的用戶密鑰登錄到網(wǎng)絡(luò)時(shí)，他的手機(jī)鈴聲響了。如果這個(gè)用戶接聽電話并回答他的PIN號碼中的密鑰，他便獲得批準(zhǔn)接入網(wǎng)絡(luò)。如果他不這樣做，那么，這個(gè)網(wǎng)絡(luò)就將拒絕他接入。IT部門將得到報(bào)警，這個(gè)攻擊便被阻止了。黑客要訪問用戶的賬戶，他必須知道用戶的口令并且物理擁有那個(gè)用戶的手機(jī)并且知道那個(gè)用戶的PIN號碼。而這種情況是不太可能發(fā)生的。

    把多種身份識別與電話網(wǎng)絡(luò)結(jié)合起來的使用方式將不可能被攻破。這也將成為一種新的標(biāo)準(zhǔn)。雙因素身份識別不再僅僅是一種最佳做法。對于許多行業(yè)來說，特別是那些受健康保險(xiǎn)流通與責(zé)任法案(HIPAA) 抑或支付卡行業(yè)協(xié)會和國家聯(lián)邦金融機(jī)構(gòu)檢查委員會規(guī)定管理的行業(yè)，雙因素身份識別是一種強(qiáng)制性的要求。由于數(shù)據(jù)和身份盜竊已達(dá)到創(chuàng)紀(jì)錄的水平，因此，企業(yè)和個(gè)人面臨巨大的威脅，而且這種風(fēng)險(xiǎn)非常高，相信沒有人愿意在發(fā)生這種攻擊的時(shí)候正值自己處于領(lǐng)導(dǎo)崗位的期間。

    傳統(tǒng)的雙因素解決方案顯示的安全令牌等許多難題都被基于電話的身份識別輕松地克服了。安全令牌對于用戶來說是很痛苦的，對于企業(yè)提供技術(shù)支持來說也是很昂貴的?；陔娫挼纳矸葑R別很容易建立并且很容易使用。不僅如此，它還更安全。

    基于電話的身份識別在各種環(huán)境中都是有意義的，但是，在某些情況下這種身份識別方式是非常好的：大規(guī)模部署(在這個(gè)環(huán)境中不可能把設(shè)備分配給每一個(gè)用戶和安裝軟件或者證書，這將引起許多技術(shù)支持問題)和你不能或者不愿意修改用戶接口的任何應(yīng)用程序。電話身份識別的另一個(gè)極好的例子是保證在線銀行交易的安全。

在線銀行中的雙因素身份識別
    舉一個(gè)在線銀行進(jìn)程的例子。在一個(gè)用戶登錄之后，銀行很難鑒別這個(gè)用戶是在打字還是在做一些惡意軟件。采用基于電話的身份識別，用戶能夠在一個(gè)在線銀行進(jìn)程中識別具體的交易。如果啟動電匯或者其它高風(fēng)險(xiǎn)的交易功能，用戶將接到一個(gè)電話要求他證實(shí)這個(gè)匯款。交易的細(xì)節(jié)將包含在電話中。因此，用戶證實(shí)哪一筆交易都是沒有問題的。

    還有許多能夠?qū)е鹿粽呓俪忠粋€(gè)非法進(jìn)程的所謂的“中間人”攻擊。采用傳統(tǒng)的雙因素身份識別，攻擊者能夠等待用戶進(jìn)行身份識別，然后劫持這個(gè)身份識別的進(jìn)程。這種情形在“瀏覽器中間人”攻擊中是非常普遍的。在這種攻擊中，用戶的網(wǎng)絡(luò)瀏覽器可能會被惡意軟件所破壞。[nextpage]

    基于電話的身份識別使壞蛋不可能欺騙服務(wù)器做用戶不想讓它做的事情。用戶將不斷地接到電話并且能夠拒絕這個(gè)行動。因?yàn)榛陔娫挼纳矸葑R別能夠用于任何類型的交易，不僅僅是在線交易或者登錄網(wǎng)絡(luò)，它還能夠用來識別物理訪問一個(gè)限制性的設(shè)施，或者甚至還能證實(shí)零售交易。

    一個(gè)有趣的案例是信用卡采購。假如你正在設(shè)法進(jìn)行一次合法的信用卡采購，但是，由于某種原因這筆交易被標(biāo)記為高風(fēng)險(xiǎn)(也許你在另外一個(gè)城市并且是在夜里很晚的時(shí)候購物)。這個(gè)標(biāo)準(zhǔn)通常是在提款機(jī)或者在線拒絕你。采用帶自動的電話的身份識別很容易對這筆交易進(jìn)行識別，允許合法的交易被驗(yàn)證和通過，即使引發(fā)了報(bào)警也沒有關(guān)系。這個(gè)采購不僅允許通過，而且如果這是詐騙的話，這筆交易將被實(shí)時(shí)地阻止，而不是僅做一個(gè)標(biāo)記在事后再進(jìn)行審查。這個(gè)錦上添花的功能是很有用的。由于每一個(gè)人都能夠使用電話，這種應(yīng)用是不成問題的。

企業(yè)級方便安裝
    對于企業(yè)部署來說，你在現(xiàn)有的硬件中下載和安裝這種身份識別軟件就可以了。對于企業(yè)網(wǎng)絡(luò)中廣泛部署的郵件客戶端Outlook Web Access(OWA)，你可以在安裝OWA的服務(wù)器上安裝這個(gè)軟件。然后增加用戶，可以手工增加，也可以通過主動目錄或者LDAP移植。歡迎的電子郵件將自動發(fā)送給用戶。所有未來的登錄都將通過電話保證安全。

    在任何VPN、思杰Web接口、互聯(lián)網(wǎng)信息服務(wù)網(wǎng)站、終端服務(wù)或者RADIUS應(yīng)用程序上的安裝過程實(shí)際上都是一樣的。不需要進(jìn)行編程，這個(gè)軟件都是現(xiàn)成的。即使在復(fù)雜的環(huán)境中，這個(gè)實(shí)施也是很簡單的。

    例如，我們有一個(gè)配置大量思杰設(shè)備的電話中心客戶端。我們能夠集成所有必要的接觸點(diǎn)，不需要對他們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行任何材料改變(不需要新的硬件，我們利用其現(xiàn)有的目錄、登錄界面保持不便等等)。用于沒有要為用戶設(shè)置的設(shè)備或者不需要向他們的計(jì)算機(jī)中安裝軟件/證書，這個(gè)電話中心能夠迅速為其數(shù)千名家庭代理提供電話身份識別。

    對于網(wǎng)站或者在線交易來說，Web插件能夠讓開發(fā)人員很容易地集成到現(xiàn)有的網(wǎng)站。增加用戶很簡單，只需要在進(jìn)行身份識別的時(shí)候輸入他們使用的電話號碼。

    正在實(shí)施的用戶技術(shù)支持需求是很小的。人們很少丟失自己的電話號碼。如果丟失的話，他們可以立即更換。我沒有攜帶我的iPhone就會一天也過不下去。我敢肯定還有許多人像我一樣?？梢允褂靡粋€(gè)備份的電話號碼，或者如果有必要的話，用戶可以給IT部門打電話臨時(shí)改變一個(gè)替代的電話號碼。