本年年初，某驰名云端记事软件厂商惊传数据遭到盗取，迫使该公司重设5 ,000万名用户的暗码，并告急通知用户再次设定新暗码。随后，该公司发布采取两重验证(two-factor authentication)来呵护用户数据。

　　其它一样在验证编制上已做改变的公司，包含Amazon、Apple、Dropbox、eBay、Facebook、Google和Microsoft。按照TechNavio的查询拜访显示，全球两重验证市场在2011至2015年估计可成长20 . 8 %;MarketsandMarkets的市场查询拜访陈述则指出，多重验证市场在2017年将达54亿5,000万美元;别的，Fortinet自有两重验证产品FortiAuthenticator，比来闪现3位数的增加，这些迹象无疑显示这已经是一个两重验证的新期间。

　　单身分验证已颠末时

　　为何单身分(single-factor)验证的编制已颠末时？以往收集威胁的报复打击编制不像此刻如斯多元，措置器的运算能力也不敷强。但此刻，收集罪犯具有更精美的暗码破解东西，和非常强大年夜的措置器，最首要的是：24小时连网的计较机处处都是，这些都使得传统采取明文(plain text)的暗码形态，成为很是等闲报复打击的方针。

　　别的，跟着云端暗码破解办事的呈现(例如操纵漫衍式计较机运算的Cloud Cracker)，让测验测验300万次的暗码破解只需不到20分钟，并且只破钞17美元。这意味即便是更周全、加过密的暗码，也只需要一点耐烦就可以破解。

　　今朝有四种治理暗码的编制，但没有一种是无懈可击的：

　　1.明文：这类暗码治理编制很是危险，因为黑客只需窃得一个明文的暗码文件，就可以等闲地扫荡全部办事器的用户暗码。澳洲税务局(ATO; Australian Tax Office)、英国通信总部(GCHQ)和零售商Tesco，都曾产生过数据遭窃事务，最后都坦承是以明文的编制储存暗码。

　　2.根基加密：这类编制是加密和储存个别的暗码，即哈希加密过(hashed)的档案，例如透过MD5或SHA1来运算。不外，一个只是哈希加密过一次的档案若被偷走，也不会比明文暗码安然多少。因为CPU措置速度愈来愈强，新的暗码破解软件愈来愈等闲获得，加上lookup(函数)和Rainbow table(数据布局表)的查表法报复打击编制，使得解开hash加密过的档案只是迟早的标题问题，取决于运算的资本和时候罢了。

　　3.随机字符串加密：这类编制是在每个暗码中加进一个字符串后再进行加密，如斯可以避免黑客获得运算前的储存值，使其没法查询比对(又称为Salted hash)。Salted hash当然也不是万无一掉，因为假定加的「salt」太短，或是一样的料已被利用加在所有的暗码里，那么便可能相对地等闲将它们破解开来。

　　4.多重加密：这指的是「再次加密」已加过密的暗码值，也就是延长(stretching)再加密，让一个暗码被加密多次。不外，如许的编制可否加强安然性仍有所争辩。

　　Salted hash加密或是延长再加密，就短时候而言，是比纯真的明文或只加密一次的暗码来得安然。但是，假定充份操纵今日非常强大年夜的CPU效能，那么成果只是甚么时辰被破解，而不在于哪一种加密编制会被破解。我们必需大白的是：只要有时候和运算资本，没有任何一种加密编制是尽对安然的。

　　加进另外一个验证身分

　　两重验证或称之为多重、两阶段验证，根基上它包含以下前2种的验证编制：

　　1.某一个利用者知道的东西：它可所以一个暗码、默许的标题问题，或是在手机上滑一下的动作，根基上它凡是是个「常识身分(knowledge factor)」。

　　2.某一个利用者有的东西：这可所以一个小型的硬设备，例如智能卡、USB、电子狗或是智能型手机token。它们能产生奇特的一次性暗码，凡是是由用户手机上的利用法度所产生或被传送过来的;这类验证编制被觉得是「持怀孕分 (possession factor)」。

　　3.某一个利用者本身的东西：这凡是需要一个生物特点辨识器，用来侦测某一小我具有的身体特点，例如指纹、瞳孔周围的虹膜或是声音。这类的验证身分定义为「与生具怀孕分 (inherence factor)」。

　　今朝市场上有良多首要的两重验证的编制，包含第二暗码、智能卡、手机或硬件token，或是利用渐广的各类生物辨识手艺，每种都有其利弊的地方。例如采取常识身分的第二暗码或通关密语当然便利，但简单的不服安、复杂的等闲遗忘，并且一样等闲被破解，或是遭键盘记实法度盗取。

　　至于持怀孕分的智能卡，手机或硬件token，长处当然比暗码安然，不容易遭到黑客的破解，但因为必需在登进时持有它，乃至不合的网站(或办事)可能会有不合的智能卡或token，也会有遗掉或被偷走的可能。最后一项与生俱有的身分-生物特点，首要分为两类：心理特点和行动特点。心理特点如指纹、脸、虹膜、视网膜或手部扫瞄等;行动特点则首要包含语音和笔迹。生物特点的长处在于不消记暗码，也不消持有额外的对象，但因为需要比对样本文件，若样本文件损毁或辨识设备精准度不敷，一样也会有标题问题。

　　双因子验证的实施

　　采取多因子验证呵护敏感数据是包管数据安然性与完全性的相对最好的实施策略。 可是，在采取匹配验证的编制之下，其实不克不及包管任何两种编制都可以办事于特别的目标。

　　应当了然的是，当然双因子验证可供给较高的安然呵护，仍然有两种类型的报复打击(冒名报复打击(masquerade attack) 与 会话劫持 (Session hijacking))可以粉碎任何类型的验证。

　　打算验证策略时需要谨记的是：一些类型的双因子验证的安然性要较着略胜一筹。有时辰，即便一种单因子验证因固有的天然属性可能也会比一些双因子更安然，比方指纹扫描。

　　打算实施双因子验证之前需要考量的一些身分：

　　易用性：平常把持中投进多少精力往培训IT人员？初始化到利用的时候？

　　与现有软件平台的集成性： 是不是对现有架构来讲是“不速之客”？是不是需要任何自定义的软件开辟？

　　安然性/律例顺从： 所从事的行业是不是有任何划定实施。

　　东西本身的安然： 所采取的加密算法是不是足够强健。

　　供给商撑持： 所选产品的供给商可供给的协助。

　　成本：基于每个用户的平均成本、保护成本与售后撑持。

　　可扩大性：是不是可进级。