密码仿佛永远是我们电脑账户的忠实守护者,对于大部分的应用,密码都可以独立完成。
但是,人们已经很清楚,密码已不再足以作为访问重要网络、应用和数据的唯一手段,特别是当企业里那些需要设置密码的应用的数量呈现爆炸式增长时。而且密码作为保护数据和系统的方式也太过薄弱,人们没有定期更改密码的习惯,或者用户将其记录在不是很安全的公共地方,或者就算这些密码足够长,足够复杂,经常变换,但是密码也会因此而变得很难被人们记住。
企业已经颁布了多项严格的措施来保护公司和客户的数据免受外部和内部的威胁,另外还有关于法规遵从和信息风险管理方面的规定。这样一来造成的结果之一就是企业的安全策略太过局限于管理用户的身份、访问权限和权利,最终让企业不得不诉诸于身份和访问管理(IAM)。企业最初能意识到的一个问题是,单因素认证(仅依靠密码)是安全链条中的一个薄弱环节。
企业希望能够改善IAM的水平,并让执行程序和技术的方式更加明确,例如提供账户和凭证,生命周期管理,认证和权利管理,单点登录(SSO),特权用户管理和联合。强用户认证是个不错的起点。
打个比喻来形容一下IAM,如果仅让那些你信任的人进入你的房子,那么强用户认证是这一过程的第一步:在门上先安装一把锁。
确定一个强用户认证解决方案大体需要确定,什么样的锁和钥匙的组合才可以在特定的环境中发挥出最大保护的作用。有很多双因素的证书(例如令牌、智能卡和生物识别技术)也出现在今天的市场上,但是所有的这些方法都只提供了相似的安全水平。
但是导致今天的强用户认证市场的主要问题不是安全,而是实用性。用户不喜欢复杂化,他们不喜欢做一些影响他们生产率的额外的事情。授权强用户认证的企业发现,一旦有机会(例如共享证件),员工就会逃过这一关。这给厂商和买家都带来一个问题:怎样才能制止用户的这些行为呢?
带着这样的想法,以下是强用户认证市场的三个趋势——
认证选择的大幅增多 不同的用户有着不同的需求,这取决于他们在企业网络的外部还是内部,或者是不是物理前提下,以及他们有权利访问哪些敏感信息。需要通过远程VPN访问IT资源的移动的IT用户与办公室的行政人员相比有着不同的要求、需求和能力。购买者想要一站式的商店,他们可以在那里为所有的用户买到所有的东西,包括用来无缝处理多个证书类型的认证管理后端。
多功能、易使用的证书 硬件令牌和其他物理证书携带和使用起来并不方便,随身携带几个就已经让人叫苦不迭了,这就是所谓的“令牌项链”问题。雇主对员工使用特定的令牌有很多的要求,但是他们没有权利限制商业合作伙伴的这些需求。
多功能的证书有着明显的好处,即使这些目的都是在公司的内部:例如,使用同样的卡建立访问和网络访问。人们在很多场合(例如工作环境、银行、eBay等)使用证书,决定这些证书的任何形式因素都将更易于被人们接受。大多数的厂商将智能卡和USB智能卡令牌看做是证书的形式因素也就不足为奇了。
认证标准有待探讨 一些厂商已经开始努力研究和改进开放认证标准,如OATH。让其变得对用户来说更加易于选择,并且,让不同类型的员工用户更易于(甚至从不同的厂商中)选择符合他们公司安全、实用和成本规定的证书。这也是在用户中广泛地部署强用户认证应用的重要一步。
强用户认证市场成熟了,并且还在进一步扩大之中:技术革新不再是首要的引导因素。生物识别技术、移动认证和PKI解决方案仍处在技术的前沿,但是他们地位不再重要。行业中,经常按照技术革新来进行销售和划分,但是今天的市场反映出了IT和IT安全市场的一个大趋势:一些主要厂商在这一趋势中占优势,并通过收购来完善自己的产品组合,在这一过程中产品组合完善的速度成有机增长的趋势。这主要是由于:
- 必须服务于大众的现实。强用户认证已经迈过了早期接纳的阶段。它不再以吹嘘密钥长度的技术为特点,而是一个能够让今天的IT安全环境明朗的直接的和更加透明的工具。购买者需要一个稳定的产品多元化的厂商生产的产品,并且该厂商的解决方案能够与他们现有的IT基础架构良好兼容,并可为他们带来很多商业远景、专业服务和质量支持。
- 用户的不同需要。“可用”是个简单的词语,但对于不同的人来说有着不同的意思。因此,市场在任何时候都不会自行决定任何一个形式因素。恰恰相反:许多主要厂商正在调整其形式因素和管理系统的产品来解决不同用户的现实处境,甚至在一个公司内部,通过使用不同物理形式的证书也可享受更好的服务。
- IAM市场的扩大趋势。身份管理趋势同样影响着强用户认证市场。企业正在努力遵守法规、节约成本、提升他们的行政效率,但是还没有一个关于IAM如何帮助改善业务流程的策略版本出现。
随着一个厂商的经验和专业知识的增加,合并会给市场带来更多的IAM组件,因此,合并最终会消除人们对IAM这一概念的混乱理解,让其变得越来越清晰起来。强用户认证市场就正在经历这样的一个过程。
这并不是说,在强用户认证领域不会发生技术革新。革新是有的。但是,主要集中在那些小型企业中,因为小型企业CIO更会因处在技术发展前沿而感到兴奋。许多这些厂商填补了主要厂商产品线的空白,并且最终会被大厂商收购。合并的热潮还在继续;有的厂商会在这个过程中被淘汰,最终消失。
但是现在,就算在认证领域寻找立足之地的小厂商的增多导致市场膨胀,多数企业购买者也将继续与所剩不多的解决供应商一起奋斗。