【IT168专稿】许多企业在用户认证方面正在减少对用户名和密码的依赖。他们同样也在了解部署强用户认证系统可以带来的收益来提高网上身份保障的水平。这也是保障信息访问和风险管理安全方法的一个环节。

    Aberdeen集团的Derek E. Brink和Tom Karol表示，企业应该通过部署强用户认证系统以提供更高的身份保证。如果能够做到这一点，企业的人为失误会进一步减少，并且管理所需的总体成本也会比原来更低。

    经过对安全和总拥有成本（TCO）进行权衡，以及对最终用户和应用程序作出调整后，企业应该选择和部署强大的用户认证解决方案。

    Aberdeen的研究表明，调查中几乎所有的企业（98%）表示他们将会继续通过用户名/密码来对访问系统、网络、数据和应用程序的最终用户进行认证。然而，在所有的被调查者中几乎半数的企业（48%）已经部署了至少一个更强大的，非密码的用户认证方法。

    大多数的被调查者已经采取措施开始加强密码的安全，例如这样的做法：

•     •密码长度要求（71%的企业），密码复杂性（62%的企业）和更改密码的频率（36%的企业）
•     •限制重复使用密码（58%的企业）
•     •排除标准字典条款（55%的企业）

    上述步骤加强了密码的安全，也使最终用户的密码更加繁琐。难以猜测的密码也让人更加难以记住。要想记住密码，人们最基本的做法是把密码写下来（这让密码更加不安全）和通过帮助平台获取密码（这增加了成本）。

    令人吃惊的是将近三分之二的被调查者（64%）目前根本没有更改密码的需求。毋庸置疑，没有一个企业希望通过管理以密码为基础的用户认证策略让风险、成本和麻烦变得更多。

    密码数量的增多导致了问题的增多。在正常情况下，企业员工可能需要使用一个六位密码或者更多字数的密码登录Windows操作系统，以及数据加密、远程访问（例如VPN或者安全套接字层SSL VPN），WiFi访问、电子邮件，基于Web的应用软件或门户网站，以及内部应用软件（如人力资源或企业资源规划）。

    规模更小的用户组可能需要使用密码来访问特权帐户（即行政职能）或进行价值较高的交易活动。目前的调查显示，几乎十分之九（88%）的企业用户设立了多个与工作相关的密码。

    Aberdeen集团在过去的一年中看到了许多关于安全基准的研究：风险、法规、内部策略，以及行业非常好的做法和那些引领市场发展的标准（这些标准的流行源于“企业及其品牌的保护”意识的增强。）所以，最近，越来越多的企业把资源重点用在评估和执行更强大的非密码形式的用户认证上。

    “降低成本”是Aberdeen集团的安全研究中最近出现的主题，但是，对身份安全投资引导者来说最有价值的是：人们觉得密码是免费的。“Security Governance and Risk Management的《2007年11月报告》研究结果首先显示出，非常好的企业已经开始研究安全治理，风险管理以及法规遵从（GRC）的过程，以便更有效地分配他们有限的IT资源和在其业务目标和可接受的风险程度上进行业务活动。”