对于金融机构而言，首先要考虑的问题是保护用户帐户，以防遭受网上欺骗。但是，如何在保护友好客户程序的同时，实现这一任务呢？复杂而繁琐的认证方法——比如生物和数字证书——对终端用户而言就可能是一条岔路，而配置和操作的花费很大。

　　金融服务公司可选择的另一种方案是实施带外认证系统，该认证系统为所有敏感或高价值交易提供了一层额外的保护。从定义可以看出，带外认证使用信道或通信路径，它们与应用程序或数据的准入路径没有直接联系。

　　简单来说，带外认证并非仅依靠单一的认证技术、数据准入与认证，它要求在认证过程中使用一个独立、离散的路径，比如电信网络。当最主要的因特网信道受到攻击时，带外认证就提供了第二条安全信道。攻击者就不得不同时探索因特网信道和二级信道——电话网络或终端用户设备——进而成功地进行攻击。

　　虽然一些人认为带外认证使认证程序更为复杂了，但是系统只要求用户使用移动电话或住宅电话来接受编码或对语音提示做出回应。它们也基本不需要训练，并且使用终端电话设备和公共电信基础设施的配置花费更为便宜一些。

　　那么带外认证是如何进行工作的呢？这里有一些例子：

　　文本信息

　　当可信的客户使用用户名和密码，成功地登录到一个金融网站，该用户需要单击一个按钮，通过短消息服务把数字代码发送到银行在录的移动电话号码上。用户在电话上接受到一次性代码，并在二级安全网页上键入这些代码，单击“验证代码”按钮，来确定正确的用户实际上就是在电话的另一端。

　　有了这种带外认证系统，即使一个积极的罪犯获得科某个用户的用户名和密码，危及账户安全的企图也会受到阻止，因为攻击者不太可能接收到发到客户电话的一次性密码。万一发生这种情况，客户也会接收到应用程序的电话，提醒他或她谨防欺诈。这使得客户可以与金融机构联系，并报告有企图的未授权进入。

　　电话

　　另一种认证情景包括与合法用户登录金融网址相同的步骤设置，但是用户可能想要在网页上单击一个按钮要求反馈回一个电话而不是文本信息。这种方法要求客户使用与金融机构文件上的电话号码相联系的电话，作为一种二级认证形式。

　　金融机构的带外认证服务打电话给客户，并且语音提示要求用户说出一个单词或输入金融网页上的数字代码。如果客户的确开始了认证，他或她通过背诵单词或使用手机键盘键入代码，就可以很容易地通过挑战。如果没有客户的电话，恶意用户就可以被阻止。

　　更为成熟的方案甚至以生物语音识别为特征，在这种方案里，用户的声音与记录在案的已知声纹相匹配。这种特殊的技术选择要求用户允许金融机构在文件里保留声纹，进而确定或证明终端用户的真实性。

　　评估建议

　　现在畅销的金融业带外系统，大多数都依靠现有用户的无绳电话或固定电话，因为对于金融服务公司而言，这些设备到处存在、位置合适并且是免费的，使用这些有很大的优势。

　　配置和注册可以控制到易于管理的水平，而无需客户解决硬件和证书的问题。新用户仅需要提供一个电话号码，便于银行认证服务器发送SMS信息或打回电。最好的是，通过带外认证系统，密码可以自动重置，无需昂贵的客服电话。客户流失也代表了一个现行的管理问题；如果没有发布证书或硬件恢复，带外认证系统可能会快速失去作用。

　　带外认证为金融服务业提供了一种可行的选择，可以加强网上服务的认证技术。使用灵活并且相对较低的所有权总成本，金融机构的安全专业人士应当对带外认证的优点进行评估。