说到选择一种企业级双因素认证方法,我们碰到的不仅仅是视网膜扫描器。与任何IT项目一样,花出去的每一块钱都必须带来相应的商业价值。就多因素验证而言,这意味着:除了单单核实员工的身份外,还可以带来其他价值。
安全专业人士往往致力于符合监管部门或最佳实践的多因素验证准则。但他们并没有意识到:向管理班子推销多因素验证解决方案,需要的不仅仅是证明该解决方案能够遵从《健康保险可携性及责任性法案》(HIPAA)、《萨班斯-奥克斯利法案》(SOX)或者信息及相关技术的控制目标(CoBIT)等法规的某个重要条款。此外,借监管法规的要求之名从IT预算当中争取到更多的安全资金,这么做的效果只会越来越差。
多因素验证解决方案有五个基本特征可望证明具有的商业价值:身份验证方面的成功概率可以让人接受、便于注册、可以提高工作效率、能够实现单点登录(SSO)以及得到用户接受。
一、能够在身份验证方面达到公司规定的成功概率 这是多因素验证解决方案最明显的功能。它应当可以满足公司规定的成功核实方面的阈值,从而对主要验证方法(这种方法通常基于密码)起到补充增强作用。许多安全管理人员所犯的头一个错误就是,期望多因素验证方法能够获得百分之一百的准确性。就连高效的指纹识别技术也存在一定的出错率。除非你在保护皇冠上的宝石或者国防部的机密资料,否则单单为了获得合理而适当的保护,就不惜巨资购买实现零差错的解决方案,没有那个必要。必不可少的成功概率取决于密码强度、公司容忍风险的程度,以及有没有其他访问控制机制及有效性如何。
二、便于注册 整个注册过程应该不到两分钟,而且很容易为公司新招的员工验证身份。向管理班子介绍需要员工具备高超技能的解决方案对你不会有所帮助。比方说,上个星期我刚看了一款解决方案:该方案需要用户回答60多个问题才完成设置过程。这款解决方案目前仅仅应用于学术界,尽管获得了非常高的成功概率,但注册方面的难题使得它几乎不可能得到管理班子的接受。
三、可以提高工作效率 应当有望改善用户体验,从而消除验证方面的现有难题(不仅仅指遵从监管法规)。实际上,向管理班子推销解决方案可能需要表明该方案可以如何解决其他问题。比方说,许多医疗组织会在护士站部署共享计算机。几个护士在每次上班时会使用这些设备,需要登陆多次,这比较浪费时间。能够迅速核实身份、快速进行用户切换的多因素验证解决方案有望增强护士们提供护理的能力,从而消除了因处理系统验证问题而浪费的时间。近感探测(proximity detection)技术可以实现这一幕:护士还没有走到键盘跟前,就完成了用户切换。虽然护士们需要针对每个应用系统来进行验证,但如果使用多因素验证技术,常常不需要每次都输入用户的身份和密码,从而提高了工作效率。
四、能够实现单次登录 多因素验证解决方案应当与将来实施的单次登录系统兼容。不考虑单次登录就贸然选择一项多因素验证技术是一大错误。多因素验证解决方案的成本可能很高;如果它与你选择的单次登录技术不兼容,就干脆扔掉,这无疑会影响你今后的职业生涯。据弗雷斯特研究公司声称,最好的办法就是先选择支持单次登录的解决方案,哪怕将来两三年过后才会实施单次登录。你在实施多因素验证解决方案时应当结合单次登录方面的远景。把这个远景告诉管理班子,把生物特征识别解决方案或智能卡解决方案作为是向改善用户体验而逐渐迈出的下一步。
五、能够得到用户接受 解决方案必须易于使用,让用户真正觉得保护信息资产的安全性更高了。没有什么比用户反对更能迅速扼杀好不容易部署的多因素验证解决方案了。用户反对往往归因于下面的其中一个或多个因素:
- 担心公司存储了个人的独特信息;
- 担心公司出于保险目的而收集个人健康信息(视网膜扫描的图案还被用来查明是否有某些健康问题);
- 担心视网膜扫描传感器发出来的红光对身体有害;
- 担心因接触许多人共用的传感器而可能患病;
- 出错率很高,又没有其他简单的登录方法
如果在部署解决方案之前与用户或用户代码进行讨论,帮助他们了解所选择的多因素验证技术方面的实际真相,就能够消除其中的前四种担心。最后一种担心是一个技术难题。
从目前来看,多因素验证技术并非十全十美。将来会出现各种各样的错误。让用户感到沮丧的一种错误就是,拒绝授权用户尝试登录。确保你的解决方案已包括一种简单的方法可以处理出现的这种问题,就能大大降低用户的沮丧感。请记住:这种解决方案原本就是用来改善用户体验的。