【TechTarget中国原创】企业的单点登录（SSO）为终端用户提供了改善用户经验，帮助IT员工减少管理大量应用上的密码的成本。如果单个认证受到攻击，攻击者就可以访问所有可解除到的资源。很容易被破解的到处可见的简单密码可以在SSO中提供恰当的认证吗？

　　在回答这个问题之前，需要清楚SSO是广泛的认证管理架构的一部分。每一个SSO都应该和企业的授权/访问控制模式的分析相连，确保敏感资源实际被保护了。如果Sso信任状被攻击了，就会很糟糕，但是如果因为脆软的访问空间，被攻击的信任状提供了对非授权（或者）敏感资源的访问，对安全管理团队来说都会很糟糕。

　　在很多年里，密码是认证机制的首选。密码简单、方便而且配置成本基本是零。当然，每一中方便都会被攻击。首先，密码很容易被窃取，而且会受到强力的字典攻击。如果需要更强大的密码，用户就会不可避免地经常忘记——导致咨询者成本的提高。为了弥补这些高成本，价格合适的自助式密码设置产品可以使用流水线的方式完成这个过程。

　　密码是否提供了足够的安全性和被保护的对象有很大的关系。安全是巨大的风险/回报分析，而安全的从业者需要每天的潜在风险是否值得更严格的安全设置成本。当然，法规要求对它造成了一点影响，因为攻击的成本比过去高了一些。所以安全性需要经常确认，而分析仍然需要做。

　　很多企业选择替换和/或使用其他认证方法对密码进行补充，确保SSO证书受到了恰当的保护。在双因素认证中出现的一次性密码很受欢迎，因为RSA的 SecurID等技术的支持在每个应用网络访问产品中都采用了，使综合产品最小化。智能卡中包含数字证书证明身份，它在欧洲和很多政府环境中都很受欢迎。

　　从负面来说，发布、管理和更新令牌和智能卡都不便宜。还有用户体验和培训等并发问题，因为丢失的智能卡会令关键员工在重要时刻进不了重要系统。这样会使安全员工在管理层中很不受欢迎。

　　尽管存在这些问题，智能卡在以后的两三年中将会成为更加普遍的方式。Bill Gates在2006年的RSA大会上讲明微软把智能卡最为了Vista操作系统认证策略的基石（通过收购Alacris）。不管我们喜不喜欢，在大部分微软推广的情况中——它都会成为考虑因素。
 
　　认证的下一种选择是生物认证。生物认证技术曾经被大力推广过（主要是厂商），来代替现有的认证方法（智能卡或者令牌），同时使用独特的认证方法，例如指纹或者视网膜的方式。当然，生物认证的限制是准确性。有一小部分的人没有可识别的指纹，所以指纹扫描器不是100% 的有效。

　　还有一些新技术，例如BioPassword非常有趣。这些人使用一种算法，通过用户输入密码的方式来决定登录企图的合法性。我知道这好像还有些路要走，但是它却是有效。当然，为了获得必须的令牌和密码的基础知识，新技术必须要定价，并和流行的应用和设备整合在一起。

　　最好的认证机制就是上面这些了。新的风险管理技术，我称作“承接认证（contextual authentication）”，它有希望更具用户想做的事情要求合适的认证水平。考虑一下它衍生物。在你自己的策略基础上，可以决定哪些请求之需要简单的密码，哪些需要电话认证，一些生活问题或者一次性密码。或者所有这些都需要。

　　承接认证确实在一定程度上改变了用户的经历。你可以要求一级认证（简单密码）来访问电脑或者网络，而二级认证（一次性密码或者智能卡）可以访问人力资源或者财政数据。而对于敏感应用就可以把生物认证添加到整合的认证的方法中。在严格意义上来说，这已经不是真正的SSO了，因为它意味着用一个信任状交换两个或者三个，但是交换的结果大大提高了安全性。

　　它从本质上就很有意义。如果想要进行百万美元的转账，你可能需要在银行中要求更强大的认证级别，而不是检查平衡，不吗？为什么不在内部也使用这种方法呢？它可以允许“正好合适”的级别的认证，这取决于想要操作的用户类型。