最显著的一个例子就是企业在对应用程序的访问权进行控制时,还依赖于用户名和密码的方式。过去,用户数量不是很多,在对主机应用程序进行访问的情况下,通过用户名和密码来控制用户对应用程序的访问权是可行的;但是,随着用户数量和应用程序数量的不断增加,在几千个用户需要对数百个应用程序进行访问的情况下,通过用户名和密码来控制应用程序的访问权就非常不合时宜了。
在这种情况下,IT部门要为每个用户分配对各个应用程序的访问权限,并为每个应用程序的可访问用户设置用户名和密码。这样一来,每个应用程序都会有多个不同的密码有效周期和多种不同的密码设置标准。每当有用户忘记了自己的密码并向系统管理员寻求帮助的时候,工作人员都要耗费一定的时间来解决问题,用户自己的工作也会受到影响。
Butler Group高级分析家Andy Kellett认为, “我们在取消访问权方面所做的工作还远远不够,如果一个最初在财务部门工作的员工调职到了人力资源部门,然后又进入了企业的高级管理层,他所享有的网络访问权限会不断增多。但是,既然他已经不再在财务部门工作,他原来所享有的与财务工作相关的应用程序访问权就应该被取消。”
现在,一些规模较大的企业已经开始注意到这个问题,对网络访问权采取了更为严格的管理方法。一个员工要同时记住多组用户名和密码所带来的困扰,正在通过单一登录系统的使用得到解决,这个系统就像用户和应用程序之间的中间媒介一样发挥作用。
应用了这种单一登录系统,用户只需要记住唯一的一组用户名和密码,其它的工作就交给软件来完成了。从技术角度来看,要实现这一点可以有多种方法。其中包括:
企业单一登录系统 应用这一系统,用户只需要登录一次,系统就会在用户使用各个不同的应用程序时自动输入用户名和密码;
联合登录系统 这一系统能够和网络应用程序一起使用,通过标准网络协议的应用使一个应用程序上的用户认证在其他应用程序上同样有效。
单一登录系统的应用也存在着一个明显的缺陷,那就是在使系统管理员的工作量减小的同时,也使网络安全面临着更大的风险。因为黑客只需要破解一组用户名和密码就能够登录多个不同的应用程序。也正是出于这个原因,一些安装了单一登录系统的企业现在开始将这一系统同其它认证手段结合应用,例如同时应用智能卡或PIN等。
Computer Associates专门负责安全战略的副总裁Simon Perry认为还可以从另外一个角度来看待单一登录系统同其它认证手段的结合应用,很多企业都将单一登录系统的应用作为引进智能卡的一种简便方式。 Perry表示:“你会听到很多企业在说,我们想要从ID和密码的应用过渡到智能卡和生物测定技术的应用,但是这些企业都面临着一个问题,那就是需要投入大量精力重写终端应用程序。然而,为了避免重写终端应用程序,这些企业会安装一个单一登录系统,同智能卡技术结合应用,并逐步提高智能卡在新的认证系统中的作用,直到最后完全停止单一登录系统的使用。”
但即使是这样,智能卡的安装应用成本仍然很高,特别是它需要内置智能卡读卡器的新PC机的硬件支持。而其它的一些解决方案,例如指纹识别器和虹膜扫描仪等生物测定设备的应用也同样成本昂贵。
Ovum首席分析家Graham Titterington认为,要想解决服务台工作人员在帮助用户重置密码方面工作量过大、成本过高的问题,还有一个折衷的解决方案,那就是仍然为每个用户配置多组不同的用户名和密码,用来访问不同的应用程序,同时设置一个自助服务程序,一旦用户忘记了自己的密码,可以通过这个程序自己完成密码的重置。这个程序的应用需要具有强大认证功能(例如生物测定设备)的PC机的硬件支持。
