身份验证和访问管理（IAM）——这种用来管理用户信息和用户、网络以及应用程序之间关系的技术——最近引起了更多的关注，强大的多重身份认证手段已经成为企业IAM战略的核心部分之一。

　　多重身份认证经常是开启IAM旅程的第一个端口。众所周知，仅仅依赖密码进行保密存在很大的风险，所以定期更换密码是大家很容易想到的解决方案。而多重身份认证则排在企业现已采用的IAM组件列表的首位。

　　尽管公司高管们对这种多重身份认证手段的概念感到满意，但是对于安全和风险专家来说，让高管们提供必要的资源支持才是真正的困难所在。Forrester研究公司最近调查了很多已采用了多重身份认证的公司，以了解这种方案的最佳执行方式。在这次调查中，出现了以下四个优秀的方案：

　　1．了解用户是如何工作的

　　最佳安全方案是用户实际已经采纳的方案——让用户接受安全方案的关键是使这些方案尽可能不对用户的正常工作造成影响。安全方案不应该仅仅是IT系统上的一个事后才体会到其重要性的部件；相反，强大的安全认证措施必须尽可能地融入到员工的日常生活中去。

　　各大公司应该正确评估安全认证方案对其用户产生的实际效果。深入了解用户如何工作并对特定用户每天的工作进行准确的描述，是确保员工工作效率的关键所在。良好的沟通是用户最终是否适应的关键——包括提醒他们实现采取正确的改进措施——而这与所选择的技术无关。

　　和其他大规模的技术项目一样，不完整的研究、不充分的测试以及薄弱的授权会把多重身份验证的实现变为昂贵的负担。通常，这些都是技术方面的问题，但发生在人事方面的问题也同样麻烦。例如，安全机构有时会将IT员工与特定用户混淆。虽然以安全的名义在IT部门及高层用户组织中进行一次试点工作是比较容易的，但它会导致时间和金钱等方面的资源严重估计不足。

　　2．确定合作方的需求并预先采取行动

　　在商业活动中，多重认证可以看成是一种没有ROI的不可复原成本——这是一个当安全项目朝着与IT无关的方面倾斜时全球CISO们都会面临的问题。安全专家需要查看客户公司的每一个角落，从而提出可以表明客户需求的MFA，并了解客户正在试图解决的业务问题。很明显，这不仅涉及到应该运用何种技术的问题，而且涉及到多重身份认证项目如何在内部开展。由于行业的纵向差异，确保遵从法规可能是一个更强大的营销方式，但这样会让项目面临一直延期到最后截止日期的风险。因此，试着将用户数据与项目结合并加以保护是一种非常有竞争力的方案。

　　许多IT人员对待任何事物都有这样一种倾向：看它是不是可以解决安全方面问题的技术手段——这样做可以在处理人和程序之间的关系时，解决不确定性问题。然而，让CEO们对这种方法有一个清楚的认识，或者叫他们尝试着去理解MFA 解决方案的精妙之处，常常会让他们的目光变得呆滞。当你试图将一个MFA的解决方案出售给高级主管时，不要把它当做一个技术方案；恰恰相反，你更应该把它当做可以保护公司数据的商业方案。

　　3．提前预判，减轻技术上会遇到的挑战

　　在Forrester所调查过的所有人中，即使他是拥有丰富经验的IT安全专业人员，在处理多重身份认证的问题时几乎都会遇到一些意想不到的技术问题。他们对此的建议是什么呢？有如下几条建议：使用现有的技术解决它们；对现有系统进行详细的分析；不要低估项目所需的时间和资源；越早进行测试越好。测试是顺利解决问题的关键，并且次数越多越好——这样做的原因更多是为了避免匆忙就启动项目。不仅如此，测试将揭露意想不到的系统问题，包括需要更换过时的技术，如传统的物理访问系统或远程访问软件。

　　很轻松的就让现有部署了的技术通过评估，或者是认为一旦MFA投入使用，现有的技术仍然可以继续使用，那么这将对系统的使用造成不良的影响，例如项目的推迟不可预知，以及没能预计到与将来的技术不可兼容。不要成为忽视测试的牺牲品！

　　4．制定策略，在正确的时机得到支持

　　尽早开始内部的销售过程，并且尽快得到高层的支持。后者通常说起来容易做起来难，但幸运的是，近年来安全问题终于获得了应有的C级重视。密码作为连接IT资源的唯一手段，它的使用存在着巨大又显而易见的安全弱点——应该把它在历时多年、拥有多个项目的IAM计划中置于优先地位。公司一旦引进，不要因为无法交付、或在回扣上做出过多的承诺而损害了自身信誉。

　　在这里，可用性是一个值得重点关注的问题，而它在赢取用户的支持上也显得非常重要，否则在项目交付后，你很有可能会耗费大量时间与那些对技术不感兴趣的客户进行交涉。对于大规模的首次展示，在起步阶段你应该着手获取来自公司上下所有重要员工（团队负责人、总监、顾问等）的支持。当然，其中肯定会存在批评和抵触情绪——因此首先应进行大量的研究，为核心用户选择合适的技术，并征求他们的改进建议。

　　这在将来会显示其自身价值的。