【IT168专稿】身份认证是一个非常基础的安全部分。随着在线交易或电子商务的发展，它现在变得越来越重要，包括微软在内的很多巨头厂商都开始注重身份认证的利用，比如ThinkPad笔记本电脑的指纹验证就是最好的应用。可以说，身份认证技术能够密切结合企业的业务流程，阻止对重要资源的非法访问。身份认证技术可以用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据。所以说，身份认证是整个信息安全体系的基础。

　　身份认证问清你是谁

　　身份认证不仅仅定义用户是谁；它把“谁”与“什么”直接联系在一起。用户在组织中的角色是什么，用户需要访问什么资源和信息，以及他/她能够对信息做什么操作，不能做什么操作……身份认证是一张全景图，它使整体策略和流程全面而一致地应用于整个企业中。

　　通过强化每个用户的访问与授权信息，身份认证解决方案可以让网络状态及时更新。身份认证解决方案使新员工能够迅速访问网络，同时在前任员工有机会入侵之前清理掉其留下的无用账户；能够提供审核信息，以确保企业对管理法规条例的遵守；能够保护隐私和加强访问控制。但最重要的是，基于身份认证的网络管理使安全脱离数据中心，并与企业的需求相符。

　　中国国际财务公司的运营总监梁俊认为：“身份认证标准化有利于创建更为直接的基于角色和基于策略的安全控制。通过准确定义用户身份和用户在网络中以及跨网络的角色和职责，数据可以被更好地保护起来，以避免不正当的使用。”

　　中信银行的网管中心主任寇建中认为：“访问控制需要同时适用于内部用户和外部用户的身份认证。要通过允许客户访问公司数据库的特定部分，可对外部用户进行访问控制。而策略的部署能够加强对隐私的保护，使敏感数据只对需要的人开放。对于那些数据访问已经规范化的领域（如银行业）来说，这一点显然很重要；事实上当今的任何行业都不敢对隐私保护掉以轻心。”

　　如何通过技术手段保证物理身份与数字身份相对应呢？在真实世界中，验证一个人的身份主要通过三种方式：一是根据你所知道的信息来证明身份，假设某些信息只有某人知道，比如暗号等，通过询问这个信息就可以确认此人的身份；二是根据你所拥有的物品来证明身份，假设某一物品只有某人才有，比如印章等，通过出示该物品也可以确认个人的身份；三是直接根据你少有的身体特征来证明身份，比如指纹、虹膜等。而从信息化发展的进程来看，指纹、虹膜这样的生物认证技术将是未来的潮流。

　　目前，口令保护依然是主流的访问认证方式。90%以上的美国公司报告称口令是他们基本的访问控制手段。尽管市场上出现了多种强大的验证访问控制产品，但是这一数字多年以来变化都不大。尽管口令存在易攻击性、用户失效以及管理成本等诸多问题，但为什么仍然在业内拥有如此巨大的优势？究其根本，是因为口令已经植根于我们的社会和公司文化之中——弃用基于口令的系统需要对我们的社会理念和公司基础结构做出巨大改变。密码自1963年启用以来，凭借其三大优势得到了广泛的应用：免费使用、简单易用以及足够的安全程度。40年后，密码到处都是，它成了最普遍的安全方式。然而，密码最初的三大优势，如今已经看不到了。

　　虽然密码简单易用，但是，任何数字超过三到四个组合时就会变得让人生厌。在公司里，用户可能需要进入15～20个不同的应用才能完成他们的工作，在这样的条件下，密码认证不仅成了一种低级的认证方式，而且还会影响员工的工作效率。另外，对于那些不常用的应用程序，密码很容易被忘记，从而造成时间的浪费。密码保护很容易被破坏。面对如此多的密码，许多用户为了图方便而忽视了安全性。他们往往选择很容易被猜中的密码，而且在多个帐户上使用同一个密码，甚至把密码放在容易被复制或盗取的地方。所有这些不良习惯，都可能造成在线密码的失窃。

　　寇建中谈到：“目前的口令密码方式已经是身份认证的最低端应用，已经不能满足企业的需求。企业在寻求更简便，更有效的身份认证形式。目前银行系统很多都采用USB KEY的方式进行认证，即不用记住繁多的口令，也不会因为怕忘记密码而把密码记在纸上，造成泄漏。”