Michael+Nadeau著+楊勇譯

關(guān)于使用密碼進(jìn)行身份驗(yàn)證，最好的說法不過是——有總比沒有好。然而，像Equifax這樣引起普遍關(guān)注的泄露事件已經(jīng)暴露了數(shù)以百萬計(jì)的密碼和用戶ID，人們普遍質(zhì)疑這種稍有些贊美的說法。如果用戶認(rèn)識(shí)不到他們有些密碼已經(jīng)被泄露了，他們還會(huì)沉浸在虛假的安全感中，而這是非常危險(xiǎn)的。

仍然依賴密碼身份驗(yàn)證方式來訪問重要客戶和企業(yè)數(shù)據(jù)的公司同樣如此。只采用密碼的保護(hù)方式永遠(yuǎn)失效了，任何依賴這種方式的企業(yè)都將其業(yè)務(wù)和聲譽(yù)置于危險(xiǎn)之中。即使避免了泄露事件，但由于Equifax事件，人們也越來越認(rèn)識(shí)到密碼保護(hù)有很多不足。如果這是您保護(hù)客戶數(shù)據(jù)所采用的方式，那么，客戶會(huì)再三考慮能不能信任您。

雙重身份驗(yàn)證（2FA）、多重身份驗(yàn)證（MFA）、行為分析和生物特征識(shí)別等替代方案已經(jīng)出現(xiàn)一段時(shí)間了，但采用率卻很低。日益惡化的威脅情形，以及越來越強(qiáng)的用戶意識(shí)減少了實(shí)施這些替代方案的障礙——障礙主要來自用戶抵制、復(fù)雜性和投資回報(bào)等因素。

所有這些替代方案都有可能被攻破，有的要比其他方式更容易攻破。IBM的X-Force紅色安全測試部高級(jí)管理顧問Dustin Heywood指出：“所有身份驗(yàn)證方式，無論是指紋、人臉、虹膜掃描，所有這些都被分解成比特和字節(jié)，它們實(shí)際上是共享的秘密信息?！奔热贿@些共享的秘密信息像密碼一樣以數(shù)字方式存儲(chǔ)，那么從理論上講完全可以竊取它們。不同之處在于，這做起來要難一些。

其目的是使犯罪分子很難獲取這些信息，以至于大多數(shù)網(wǎng)絡(luò)罪犯分子不得不去尋找其他更容易的攻擊方式。很多企業(yè)根據(jù)風(fēng)險(xiǎn)、用戶考慮和被保護(hù)的數(shù)據(jù)的價(jià)值，組合使用了多種身份驗(yàn)證方法，以達(dá)到合理的安全期望。

用戶認(rèn)識(shí)到了強(qiáng)身份驗(yàn)證方式的價(jià)值

如果用戶抵制或者無動(dòng)于衷，那么企業(yè)和面向用戶的網(wǎng)站采用的最好身份驗(yàn)證計(jì)劃就可能會(huì)失敗。最近引人注目的泄露事件畢竟還是有一些積極的結(jié)果——用戶開始認(rèn)識(shí)到強(qiáng)身份驗(yàn)證的價(jià)值，似乎更愿意接受一些由此帶來的不便。

獨(dú)立安全研究員Jessy Irwin認(rèn)為這種趨勢開始于2015年初的Anthem泄露事件?！坝脩魮?dān)心醫(yī)療信息被泄露。”而對(duì)于Equifax，這類擔(dān)心還包括財(cái)務(wù)賬目。

雖然用戶更愿意接受更復(fù)雜的身份驗(yàn)證方式來保護(hù)醫(yī)療和財(cái)務(wù)數(shù)據(jù)，但并不是所有的服務(wù)提供商都提供這類選擇。Irwin表示：“很多銀行，因?yàn)橐郧白鲞^類似的工作，認(rèn)為與賬戶關(guān)聯(lián)的安全問題是第二個(gè)驗(yàn)證要素，但事實(shí)并非如此。人們需要額外一層的保護(hù)，但卻不知道應(yīng)該打開什么。他們必須求助于客戶服務(wù)或者客戶代表，甚至是供應(yīng)鏈，來要求這些功能?！?/p>

缺乏要求增加安全層的機(jī)制，導(dǎo)致一些企業(yè)認(rèn)為沒有客戶對(duì)此有需求。Irwin表示：“有很多工作要做。人們知道自己有需求，但不知道到底需要什么。當(dāng)他們知道自己需要什么時(shí)，有時(shí)候卻沒有打開某些功能的選擇。這真是一場艱苦的戰(zhàn)斗?！?/p>

對(duì)競爭的擔(dān)憂阻礙了一些企業(yè)實(shí)施不同的身份驗(yàn)證過程，因?yàn)檫@些過程可能會(huì)導(dǎo)致難以使用他們的服務(wù)。智能身份驗(yàn)證提供商SecureAuth身份策略高級(jí)副總裁Robert Block表示：“當(dāng)涉及到用戶時(shí)，他們非常害怕會(huì)影響到用戶體驗(yàn)。很大一部分原因是缺乏了解，實(shí)際上只要滿足合適的環(huán)境變量，總是有影響不大的方法。”

Block說：“用戶變得越來越聰明了。他們會(huì)問，‘如果我和你做生意，你能保護(hù)我的憑證嗎？你提供2FA嗎？如果是的話，我對(duì)這些方法有多少控制權(quán)？由于泄露事件的影響，如果還認(rèn)為用戶是懶惰的，不希望自己的用戶體驗(yàn)被打斷，那么這種想法是錯(cuò)誤的?！?/p>

實(shí)現(xiàn)更強(qiáng)身份驗(yàn)證的難點(diǎn)不在于技術(shù)。Block說：“這涉及到人、過程和文化等因素。您能在周圍找到合適的人來決定哪些風(fēng)險(xiǎn)是可以接受的嗎？我們要支持多少要素，怎樣把這些要素呈現(xiàn)給最終用戶？”

為能夠讓用戶接受，Block強(qiáng)調(diào)了靈活性?！盁o論您能承受什么樣的風(fēng)險(xiǎn)，都應(yīng)該盡可能的靈活，這樣，最終用戶會(huì)覺得一切都在他們的掌控之中?！?/p>

只使用密碼身份驗(yàn)證方式的危險(xiǎn)之處

如果只使用密碼，那么對(duì)于黑客來說，破解或者竊取密碼和用戶ID易如反掌。即使您聽從建議，保護(hù)好這些密碼——也會(huì)如此。Irwin說：“有很多安全需求使得密碼變得更脆弱，而不是更強(qiáng)。很多人認(rèn)為，如果他們經(jīng)常性地更改密碼，那這就是良好的安全行為。其實(shí)不是。很多生成強(qiáng)密碼的規(guī)則反而不如以前了。這讓人更容易破解密碼。”

Irwin所指的規(guī)則已經(jīng)被廣泛使用了，它是基于國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）等標(biāo)準(zhǔn)組織早期的一些建議。NIST最近修訂了這些規(guī)則，以便更好地符合當(dāng)今威脅格局的現(xiàn)實(shí)，但大多數(shù)企業(yè)尚未采用這些規(guī)則。

Heywood說：“密碼的問題不在于密碼本身。它在某些方面實(shí)際很難處理。問題的關(guān)鍵在于密碼是一種共享的秘密信息。人們?cè)诰W(wǎng)站之間重復(fù)使用密碼，所以您不僅依賴于您正在使用的網(wǎng)站的安全性，而且還依賴于您曾經(jīng)使用過密碼的每一個(gè)網(wǎng)站的安全性。秘密信息總是要被轉(zhuǎn)換的?！?/p>

密碼是使用很難進(jìn)行逆運(yùn)算的哈希算法進(jìn)行轉(zhuǎn)換的。Heywood說，太多的網(wǎng)站使用的哈希算法已經(jīng)有幾十年的歷史了，而且曾被攻破過。使用目前的高速計(jì)算機(jī)，黑客比較容易對(duì)盜取的密碼進(jìn)行哈希逆運(yùn)算?！艾F(xiàn)在有工作框架，可以利用這些框架，快速驗(yàn)證這些憑證能否用于其他被攻破的網(wǎng)站，甚至實(shí)時(shí)驗(yàn)證能否用于一些其他網(wǎng)站。”

為最大限度地降低密碼被攻破的風(fēng)險(xiǎn)，越來越多的人使用密碼保管庫，借助于偽隨機(jī)發(fā)生器，使用很長的字符串對(duì)密碼進(jìn)行加密和隨機(jī)化處理。Heywood說：“一些偽隨機(jī)發(fā)生器由于實(shí)施不當(dāng)而被攻破了，但總比沒有好。”

雙重身份驗(yàn)證：向前邁出的一小步

要求用戶除了密碼之外還要提供其他一些識(shí)別信息——這已成為安全驗(yàn)證的最低標(biāo)準(zhǔn)。這些信息通常只有用戶自己知道，用于必須回答的安全問題，例如，“您的第一只狗叫什么名字”。也可以是通過短信發(fā)送到手機(jī)或者令牌設(shè)備（或者用戶擁有的設(shè)備）上的驗(yàn)證碼。endprint

這里的“安全”是一個(gè)相對(duì)的概念。在Equifax泄露事件中，一些用戶的安全問題的答案也被攻破了。稍加思索，就很容易發(fā)現(xiàn)一些個(gè)人信息，比如母親婚前的名字或者某人出生的城市等。

通過短信發(fā)送驗(yàn)證碼也好不到哪里。事實(shí)上，新的NIST指南警告說，黑客能夠攔截這些驗(yàn)證碼。這在一定程度上是由于SS7（7號(hào)信令系統(tǒng)）固有的漏洞造成的，這是于1975年開發(fā)的一個(gè)協(xié)議，是電話網(wǎng)交換信息的基礎(chǔ)。利用這一漏洞的黑客可以訪問所有網(wǎng)絡(luò)流量。

Irwin說，SIM卡劫持事件也越來越多了。她說：“一名社交工程師會(huì)給AT&T或者Verizon客戶服務(wù)熱線打電話，假裝成要安裝新電話或者要對(duì)帳戶進(jìn)行更改的另一個(gè)人。他們現(xiàn)在可以控制設(shè)備的身份驗(yàn)證，也能攔截短信密碼。”Irwin指出，這種攻擊的目標(biāo)是黑客知道的有價(jià)值的用戶，比如比特幣帳戶，或者對(duì)重要數(shù)據(jù)有高級(jí)訪問權(quán)限的用戶。

使用令牌設(shè)備或者顯示驗(yàn)證碼的令牌智能手機(jī)應(yīng)用程序會(huì)更安全一些。Irwin說：“您不必再依賴另一種機(jī)制來獲得驗(yàn)證碼。黑客必須獲得您所擁有的特定的令牌，才能去攻擊第二個(gè)驗(yàn)證因素。這工作量太大了。令牌是傳遞2FA驗(yàn)證碼最強(qiáng)、最好的方法?！?/p>

對(duì)于用戶應(yīng)用程序來說，令牌的問題在于人們拒絕使用它們，因?yàn)檫@需要一臺(tái)單獨(dú)的設(shè)備和它們自己的應(yīng)用程序。Irwin說：“令牌可能還需要一些額外的工作?！彼J(rèn)為，如果用戶能更好地理解有什么好處，令牌應(yīng)用程序供應(yīng)商使其用起來更方便，那么它們將被更廣泛地采用。目前，傳遞驗(yàn)證碼的令牌主要用在企業(yè)環(huán)境中。

無論是令牌還是智能手機(jī)，都要求擁有一種設(shè)備才能進(jìn)行訪問，這就避免了網(wǎng)絡(luò)犯罪帶來的損害。Edgewise網(wǎng)絡(luò)公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Harry Sverdlove說：“當(dāng)知道密碼的唯一方式是拿著一臺(tái)設(shè)備時(shí)，這就很難，甚至不可能發(fā)起大規(guī)模的攻擊?！?/p>

多重身份驗(yàn)證：如果實(shí)施得好，會(huì)更強(qiáng)

MFA背后的想法是讓黑客更加難以訪問別人的賬戶。MFA通常需要一個(gè)用戶ID和密碼，一些您知道的東西，以及您擁有的東西。Heywood說：“如果已經(jīng)應(yīng)用了多重身份驗(yàn)證，而我有你的密碼，那我就會(huì)去別的地方——在這些地方，管理員很懶，沒有使用多重身份驗(yàn)證機(jī)制。MFA不是什么高招，但是除了專門的攻擊者之外，它對(duì)于阻止大部分攻擊還是非常有效的。”

MFA通常是一種分階段的過程，當(dāng)出現(xiàn)了警報(bào)時(shí)，會(huì)要求用戶提供額外的識(shí)別要素。它通常與基于風(fēng)險(xiǎn)的身份驗(yàn)證相結(jié)合使用。例如，用戶試圖從一臺(tái)新設(shè)備登錄，或者想訪問保護(hù)等級(jí)更高的區(qū)域的情況。Heywood說：“如果我經(jīng)常登錄看看我的收支情況，我的銀行一般不會(huì)要求提供第二個(gè)驗(yàn)證要素。但如果我想把一千萬美元匯到英國，那他們會(huì)問我第一個(gè)孩子是誰，血型是什么，等等很多問題。”

Block說，從今年1月1日到10月5日，SecureAuth涉及到的驗(yàn)證嘗試中的88%都是經(jīng)由第一個(gè)驗(yàn)證要素處理的。他說：“為什么每次都要用第二個(gè)驗(yàn)證要素給用戶增加負(fù)擔(dān)呢？”

Sverdlove說：“我們應(yīng)普及MFA的應(yīng)用?！彼J(rèn)為，最可靠的方案應(yīng)包括用戶知道的東西（密碼、安全問題的答案）、您擁有的東西（智能手機(jī)、令牌設(shè)備）、您的位置，以及您自己的特征（生物識(shí)別、行為分析）等。

社交賬號(hào)登錄：可行但有風(fēng)險(xiǎn)

相對(duì)于其他服務(wù)網(wǎng)站，谷歌、臉書、推特和Instagram這些大型社交媒體網(wǎng)站通常能更好地保護(hù)用戶ID和密碼數(shù)據(jù)。他們還提供2FA——至少作為一種選擇，并使用分析技術(shù)發(fā)現(xiàn)可能的非法登錄嘗試，一旦發(fā)現(xiàn)，就會(huì)要求提供更多的身份驗(yàn)證信息。

有了社交賬號(hào)后，網(wǎng)站和移動(dòng)應(yīng)用軟件允許人們使用他們的社交媒體帳戶進(jìn)行登錄，這通常作為標(biāo)準(zhǔn)密碼驗(yàn)證的選項(xiàng)。用戶認(rèn)為這更多的是為了方便而不是為了提高安全性，但是網(wǎng)站和網(wǎng)絡(luò)服務(wù)提供商獲得了某種程度的安全驗(yàn)證手段，否則他們可能沒有資源來實(shí)現(xiàn)自己的目標(biāo)。Jim Kaskade是JanRain的首席執(zhí)行官，其客戶身份和訪問管理系列解決方案包括了社交賬號(hào)登錄功能，他說，社交媒體網(wǎng)站和社交賬號(hào)身份服務(wù)提供商提供人員和技術(shù)來開發(fā)強(qiáng)大的身份驗(yàn)證功能，為用戶身份提供現(xiàn)代化的保護(hù)。他說：“我們站在對(duì)安全作出了巨額投資的巨人的肩膀上。

社交賬號(hào)登錄的最大風(fēng)險(xiǎn)是，用戶訪問過的所有網(wǎng)站，比如說谷歌，如果谷歌賬號(hào)被攻破，那么谷歌網(wǎng)站也將被攻破。攻擊者可以通過多種方式控制社交賬號(hào)：社交工程、創(chuàng)建虛假的個(gè)人資料，或者在暗網(wǎng)上購買用戶ID和密碼。用戶如果打開2FA等可選驗(yàn)證功能，就能夠降低這方面的風(fēng)險(xiǎn)，但很多用戶都沒有這樣做。

Irwin說：“社交賬號(hào)登錄很有趣，因?yàn)槲覀優(yōu)槠浯蛟炝撕軓?qiáng)的OAuth。他們做兩件事：他們將您的社交媒體賬戶和服務(wù)聯(lián)系起來，而您不希望自己的社交媒體提供商參與其中，特別不希望他們有辦法有針對(duì)性的投放廣告。”她補(bǔ)充說，社交媒體公司已經(jīng)擁有了太多的個(gè)人數(shù)據(jù)，甚至能夠以意想不到的方式使用這些數(shù)據(jù)。通過社交賬號(hào)登錄，這些公司就會(huì)有更多的信息，知道您在網(wǎng)上的所有人際關(guān)系。她說：“這不太好。有點(diǎn)令人不安?！?/p>

Irwin認(rèn)為社交賬號(hào)登錄在某些情況下也是有價(jià)值的。她說：“對(duì)于購物網(wǎng)站，或者用戶沒有設(shè)置好用戶名和密碼的網(wǎng)站，社交賬號(hào)登錄替用戶完成了他們應(yīng)做的很多工作。這不錯(cuò)，但是也使社交媒體網(wǎng)站的密碼和用戶名變得非常、非常脆弱。”Irwin說，那些對(duì)用戶有意見的家庭成員、家庭伴侶或者朋友有時(shí)會(huì)利用這個(gè)用戶的社交媒體賬號(hào)登錄來制造麻煩?！斑@可能是災(zāi)難性的?！?/p>

Kaskade認(rèn)為，巧妙實(shí)施社交賬號(hào)登錄驗(yàn)證的公司能夠減輕這種方式帶來的相關(guān)風(fēng)險(xiǎn)。例如，一家企業(yè)可以把社交賬號(hào)登錄作為“輕型”身份驗(yàn)證方案的一部分，例如，使用臉書完成下載受控內(nèi)容等簡單服務(wù)，然后要求更高級(jí)別的安全登錄方式（例如，MFA）才能獲取更多的敏感信息，例如，訪問您的支票帳戶。endprint

他指出，即使銀行和醫(yī)療服務(wù)提供商也開始在可行的地方使用社交賬號(hào)登錄——這些機(jī)構(gòu)在保護(hù)個(gè)人數(shù)據(jù)方面受到了嚴(yán)格的監(jiān)管。他們這樣做會(huì)讓用戶感到很方便，減少了所謂的注冊(cè)和登錄疲勞，但他們顯然采用了其他身份驗(yàn)證方式來增強(qiáng)社交賬號(hào)登錄方式。Janrain的社交賬號(hào)登錄產(chǎn)品支持通過設(shè)置用戶行為規(guī)則來增強(qiáng)安全性。Kaskade說：“如果有人從美國登錄，幾分鐘后又從中東登錄了，那就知道要通過簡單的規(guī)則集來增強(qiáng)MFA。”

生物特征識(shí)別：不像您想象的那么萬無一失

術(shù)語“生物特征識(shí)別”包括一系列身份驗(yàn)證方法——掃描人的某些物理屬性，包括面部、眼睛的虹膜、心跳、靜脈圖案或者指紋等，以證明身份。這些屬性對(duì)個(gè)人來說是獨(dú)一無二的，但對(duì)于身份驗(yàn)證目的，有利也有弊。

生物特征識(shí)別的一個(gè)優(yōu)點(diǎn)是它便于用戶使用。通過按壓拇指或者掃描面部，用戶不用記住密碼或者安全問題的答案，就能使用他們的設(shè)備或者服務(wù)。生物特征識(shí)別的缺點(diǎn)是絕非萬無一失。蘋果最新的面部識(shí)別技術(shù)被一張3D打印的臉破解了。不太先進(jìn)的人臉識(shí)別技術(shù)被驗(yàn)證過的人的照片愚弄了。

一個(gè)人的生物特征數(shù)據(jù)是以數(shù)字檔案的方式存儲(chǔ)起來的，而這會(huì)被竊取。一旦出現(xiàn)這種情況，驗(yàn)證就沒有用了。Sverdlove說：“我不是一個(gè)密碼迷，但您可以改變密碼。當(dāng)指紋被盜，面部信息被盜，DNA被盜時(shí)會(huì)發(fā)生什么？這些都是一成不變的，也是不可能改變的?！?/p>

竊取生物特征識(shí)別數(shù)據(jù)被認(rèn)為比竊取或者破解密碼更困難，盜賊要盜取個(gè)人生物特征識(shí)別數(shù)據(jù)的風(fēng)險(xiǎn)也很低。如果盜賊以多個(gè)個(gè)人資料為目標(biāo)，那么風(fēng)險(xiǎn)就會(huì)顯著增加。Sverdlove說：“存儲(chǔ)在交易所的數(shù)以百萬計(jì)的指紋將成為攻擊目標(biāo)。一旦被攻破了，就沒有任何挽回的余地了?！?/p>

Sverdlove建議，企業(yè)不要為生物特征識(shí)別數(shù)據(jù)只建立一個(gè)存儲(chǔ)庫。他說：“從過去的經(jīng)驗(yàn)中吸取教訓(xùn)：不要把所有的東西都存儲(chǔ)在一個(gè)數(shù)據(jù)庫中。它會(huì)被偷的?！?/p>

基于風(fēng)險(xiǎn)的身份驗(yàn)證：不要密碼

密碼、MFA、社交賬號(hào)登錄和生物特征識(shí)別都把證明身份的責(zé)任落在了用戶身上?；陲L(fēng)險(xiǎn)的身份驗(yàn)證功能支持企業(yè)負(fù)起身份保證的責(zé)任。這不是一個(gè)新概念。例如，信用卡發(fā)卡機(jī)構(gòu)一直在使用基于風(fēng)險(xiǎn)的分析方法，通過查找異常的交易模式來檢測欺詐行為。

設(shè)備度量，即行為生物特征識(shí)別，是基于風(fēng)險(xiǎn)的一種身份驗(yàn)證方式，旨在消除密碼。軟件分析打字模式、與屏幕的交互、設(shè)備IP地址或者地理位置，把這些數(shù)據(jù)和行為與特定用戶關(guān)聯(lián)起來。這種使用習(xí)慣的基本指標(biāo)信息是通過機(jī)器學(xué)習(xí)隨著時(shí)間推移而逐步建立起來的——盡管IP地址和位置等數(shù)據(jù)是直接從網(wǎng)絡(luò)中獲取的。

Block說：“您作為企業(yè)可以定義哪些地理位置是可接受的，哪些是不可接受的。我們開始記錄您作為一個(gè)個(gè)體是從哪里來的。我們繪制出您來自哪里，您的設(shè)備的瀏覽器類型，您可能使用的電話號(hào)碼，等等?！边@樣，軟件能夠確定呼叫是否來自某一地區(qū)已知的運(yùn)營商。個(gè)人的設(shè)備使用習(xí)慣、基于風(fēng)險(xiǎn)的身份驗(yàn)證系統(tǒng)相結(jié)合，可以做出一個(gè)相當(dāng)準(zhǔn)確的決定：是否允許訪問而不需要密碼。

Irwin說：“您的最終用戶想，‘我不必再使用密碼了。這太好了，但是他們放棄了自己的超級(jí)私人信息，他們還不知道這些信息非常寶貴。您愿意應(yīng)用程序提供商知道您是怎樣使用手機(jī)的，您怎樣觸摸手機(jī)，您什么時(shí)候觸摸手機(jī)，您什么時(shí)候點(diǎn)擊“是”或者“否”嗎？我不希望打著我的名義來采集這些信息。有時(shí)這種情況會(huì)出現(xiàn)在應(yīng)用軟件里，主要是用于廣告目的?！?/p>

基于風(fēng)險(xiǎn)的身份驗(yàn)證并非萬無一失。人們的行為往往是可以預(yù)測的，但環(huán)境可能會(huì)導(dǎo)致變化，從而給欺詐提供了可以利用的偽造的結(jié)果。Sverdlove問道：“如果患了腕管綜合癥怎么辦？行為生物特征識(shí)別代表了將要應(yīng)用的另一種標(biāo)準(zhǔn)。它使用起來不應(yīng)該是排他的?！盨verdlove指出，一個(gè)人的數(shù)字行為指標(biāo)也可以被下定決心的罪犯分子欺騙或者改變，盡管不太容易。

打字或者屏幕滑動(dòng)模式等指標(biāo)取決于用戶對(duì)設(shè)備的操作習(xí)慣。Block說：“鍵盤和屏幕指標(biāo)存在一些固有的問題，其中一些與應(yīng)用軟件密切相關(guān)?！边@使得很難理解和解釋擊鍵行為。SecureAuth使用行為指標(biāo)，但也依賴基于硬件的指標(biāo)，例如，手機(jī)和設(shè)備類型。

找到最佳身份驗(yàn)證策略

還沒有一種方法可以取代或者加強(qiáng)全系統(tǒng)的密碼身份驗(yàn)證功能。企業(yè)應(yīng)采取基于風(fēng)險(xiǎn)的方法，評(píng)估被保護(hù)數(shù)據(jù)的價(jià)值、被濫用的可能性，以及身份被竊取的后果。在大多數(shù)情況下，這意味著將身份驗(yàn)證與應(yīng)用程序或者環(huán)境進(jìn)行匹配，并使用某種類型的MFA進(jìn)行備份。

例如，銀行可能要求客戶在登錄時(shí)只提供密碼。這樣，客戶可以看到他們賬戶的基本信息。如果客戶想要進(jìn)行交易，銀行則會(huì)要求更多的身份識(shí)別信息，例如驗(yàn)證碼。同時(shí)，銀行使用行為分析軟件查看會(huì)話過程中的使用模式和設(shè)備指標(biāo)是否與該客戶相關(guān)信息相匹配。如果某些參數(shù)與預(yù)定參數(shù)不符，會(huì)要求進(jìn)一步的身份驗(yàn)證，或者拒絕和限制訪問。

Block說：“我們認(rèn)為，在每一個(gè)身份驗(yàn)證點(diǎn)，都應(yīng)該預(yù)先進(jìn)行一些風(fēng)險(xiǎn)分析檢查，幫助您確定這個(gè)有效的用戶身份是否足夠可信，可以允許或者拒絕其訪問，或者使用另一個(gè)驗(yàn)證要素對(duì)其進(jìn)一步進(jìn)行驗(yàn)證?！彼a(bǔ)充說，SecureAuth的一些以消費(fèi)者為中心的客戶正朝著這個(gè)方向發(fā)展，但整個(gè)行業(yè)還沒有這樣做。

大多數(shù)專家都認(rèn)為密碼不會(huì)很快消失，但確實(shí)有機(jī)會(huì)能夠減少人們需要管理的密碼數(shù)量，企業(yè)系統(tǒng)尤其如此。Block說：“我們已經(jīng)看到，企業(yè)要實(shí)行他們所謂的無密碼，而我要說是減少對(duì)密碼的依賴。如果他們的員工現(xiàn)在要管理20個(gè)不同的密碼，也許今后他們管理5個(gè)就可以了，其余的都是通過一些其他的基本身份驗(yàn)證措施來進(jìn)行管理的?！眅ndprint