文档介绍：智能身份验证让身份验证更智能
如果你还仅仅是使用简单的密码来保护网络，那么你的网络很可能会门户大开。而传统的强验证产品其购买及部署费用仍然很高昂，于是许多企业开始寻找新的方法，让验证更智能、更普遍、更易于使用。今年三四月份，一小批电子邮件进入了欧美国家的国防部门及承包商的办公室。这些邮件在收件人看来似乎是可以信任的: 每封邮件都是发到某个员工的邮箱地址，还有合法的回信地址，种种现象表明这似乎是内部邮件。这些邮件数量极少、也极为狡猾，骗过了反垃圾邮件过滤器。后经过检查才知道是利用了微软Word当中以前未察觉的漏洞，从而得以从反病毒过滤器旁边溜过。那些不走运的收件人要是打开了电子邮件的附件，就会不知不觉安装了特洛伊木马。诸如此类的网络钓鱼攻击毫无新意。多年来，把网上银行和电子商务客户引诱到假冒网站、然后诱骗他们透露敏感的账户信息，这种网上骗局已经成为网上犯罪分子的主要手段。不过，所谓的鱼叉式网络钓鱼（spear-phishing）攻击却是一种新的伎俩，攻击者用来侵入企业网络的软件也越来越先进。在过去一年，针对公司的目标攻击数量从每周一两起增加到了每天一两起。MessageLabs的高级分析师Paul Wood说，虽然这个数字与邮件数量以百万计的电子邮件病毒和垃圾邮件活动相比可能不值得一提，但鱼叉式网络钓鱼攻击却更危险。Wood说: “这种攻击不是针对从网上搜集而来的那些地址。这些人掌握了所要攻击组织的大量信息……这些邮件的目的性很强。”它们攻击的对象通常是: 软件源代码、设计文档或者设计图表。不过以国防承包商为例，因情报丢失可能造成的破坏远超过通常的经济损失。对此，企业该怎么办呢？单纯使用单因素的用户名和密码很快成为IT人士的笑柄，而传统的强验证（strong authentication）产品其购买及部署费用仍很高昂，于是如今许多企业寻找新的方法，让验证更智能、更普遍、更易于使用。据专家们称，各个地方的IT部门很快就会需要部署类似金融公司如今使用的那些保护机制了。几百年来，金融公司一直在与各种欺诈作斗争。相应之下，一度波澜不惊的验证市场正在迅速转型。新的初创公司、新的设备以及风险资本的大量涌入，意味着很快就能派上用场。企业IT部门面临的挑战就是，抢在骗子们找到入口之前，让一切保护机制发挥作用。密码失效吗？正如Bob Blakley看到的那样，不是说密码已经没有用了，而是因为一开始密码就根本不是非常有效。“根本的问题在于，原本就需要在人的认知能力和密码强度之间进行取舍，”Blakley说，他是IBM公司负责安全和隐私的首席科学家。如果标准的强密码协议所用的值使用8个或更多字符、混合字母值和数值，那么用户就会处于不安全的密码，或者选择很难记住的安全密码。斯坦福联邦信用合作社（Stanford Federal Credit Union）CTO Sam Tuohey通过实际调查的方式得出了同样的结论――。Tuohey领导的小组使用标准的密码破译工具对一系列加密密码进行了破译，结果发现，近80%的值在“不到一秒内”就被破译，Tuohey说。多年来，简单密码足以阻止技术含量低的黑客行为和网上犯罪，如今不再是这样。松懈的用户访问机制一度可以接受，但如今就显得像是在吸引经验老到的网上犯罪分