问:我们组合了一个系统，允许远程用户在一个Web界面进行金融交易。我们担心用户的识别和身份验证问题。我们正在考虑使用PKI或者双因素认证来保证合法的用户进行这种交易。虽然这两种方法并不相互排斥，但是，考虑到应用和管理的问题，这两种技术中每一种技术的优点和缺点是什么?

答:使用PKI用于网络身份识别有些过了。建立PKI和维护PKI架构的开支要超过目前已经在使用的双重认证的成本。另外，PKI并没有像双因素认证那样广泛，如一次性口令令牌和智能卡。因此，随着你的需求的增长，可伸缩性和兼容性可能是一个问题。

　　如果你是一个金融机构，你很可能必须要遵守美国联邦金融机构检查委员会(FFIEC)的指南。这个指南建议在所有基于互联网或者Web的银行以及多层次防御中都使用双因素认证。这些防御还包括诈骗监测系统。诈骗监测系统虽然不是真正的身份识别系统，但是，它可以为封锁恶意访问系统提供同样的保护。与验证用户的身份识别系统不同，这些产品监视交易的方式并且封锁那些与用户正常活动方式不同的可疑的活动。

　　然而，对于这些系统来说，双因素认证比PKI有优势。双因素认证已经建立了成功的跟踪记录，应用和设置都很容易和便宜，而且比PKI应用得更广泛。