多重身份验证机制已经有十来年的历史了，大型的电子商务和互联网金融机构几乎都已经支持手机验证码、动态令牌之类的强身份验证措施。

跨国的全球知名互联网公司如谷歌、微软、脸书和亚马逊等等都支持双因素身份验证，这些双重甚至多重身份安全验证措施的成本并不太高，对防范密码窃取者未授权访问他人帐户有着重要的作用，却为何不是很受人们特别是大部分国人的欢迎呢？

心存侥幸者与玩世不恭者不会花费心思去思考双因素身份验证能够带来的好处，不过这两类群体并不占社会的大多数。昆明亭长朗然科技有限公司的互联网安全顾问James Dong表示：还有两类群体是拒绝双重身份验证机制的主体，了解他们的内心想法和固有观点，有助于我们采取正确而积极的措施。

一类是缺乏信任的，他们要么不相信自己的安全防范水平，认为自己是安全菜鸟，比如拒绝使用网银等危险性较高的互联网应用。要么不相信双重身份验证机制能够帮助他们，毕竟也有很多窃贼突破双重验证机制的事件时时出现在新闻报道中。

一类是单纯懒散的，这类人要么笨得可爱，基本的电子设备操控都不会，更不会也不敢操控复杂的验证码。要么知道有这项安全功能，可是懒得启用它们，更懒得每次输入身份验证码，作茧自缚，搞得自己很累。

这两类人，说白了是信息安全方面的知识、能力或态度出了问题，我们要有效解决双重身份验证被拒绝使用的难题，就要从这里入手，不能简单地强制用户接受，否则便无法使用服务，或者后退一步，牺牲安全来换得效率。

通过有效的安全意识沟通和在线模拟演练，可以帮助人们建立对双重身份验证机制的信任，也能让用户更加充满自信和拥有更多安全力量，更能让用户们掌握必须的安全技术能力和养成积极向上的安全习惯。

近一两年来有大量互联网用户迷失了自我，原因是很多网站泄露了我们的帐户、密码和邮件，以致于我们的网络身份被窃取和盗用。

脆弱的互联网服务在技术精湛的黑客面前不堪一击，而各路媒体和安全公司更是趁机扇风点火，夸大黑客的威力和事件的影响、吹嘘安全解决方案的能力。一时间弄得人心惶惶，大量小白用户放弃了使用便利但敏感的网上交易。

实际上，除了最常用的身份认证方式——“密码”被大量外泄之外，提供多重身份验证机制的硬件令牌、安全证书等等也都被黑客突破。

亭长朗然公司的安全研究员Bob Xue希望这些起安全事故能给人们带来深刻的教训：

• 黑客窃取用户身份的下一步目标很明确，即窃取用户的虚拟网络财产或转移银行卡内余额，而服务意识不够的网站往往会“捂”住密码泄露事件，给黑客较长的时间对用户逐个进行渗透攻击。
• 尽管有新的替代和创新身份鉴别技术，但是永远没有绝对的安全，动态令牌、网站证书被黑客攻陷相关的安全大戏仍将继续上演。
• 提供安全服务的公司自身的安全保障可能很不到位，安全服务公司的客户联络数据外泄、甚至安全产品源代码失窃等类似的事故还将持续下去。
• 移动终端设备底层的安全防范会加强，但在高端应用方面的安全性却比PC还脆弱。
• 用户终端和服务商系统仍是密码泄露的最大源头，不过移动互联网越来越普及，通过WIFI进行网络窃听的势头上升迅猛。
• 用户行为识别技术开始被用于身份验证、生物特征识别技术将大行其道、动态令牌技术升级等等，都将弥补口令认证的不足。
• 用户对安全的理解和接受才是企业级帐户和权限管理IAM获得成功的关键，对用户进行密码复杂度以密码保护相关的安全意识培训需成为安全管理人员的工作重点之一。
• 开放式认证和单点登录能够让用户只需少量的密码访问大量的网站应用，然而在不同的网站使用相同的密码是高风险行为，一个网站密码失窃带来的损失也将是巨大的。
• 即使对密码进行了哈希加密存储，高级的黑客仍然能够还原哈希值，或使用哈希密文直接成功登录部分网站。
• 即便使用了https安全的登录方式，黑客也能窃取网站的Cookie，在不窃取密码的情况下轻松入侵用户的网站帐户。

展望未来，昆明亭长朗然科技有限公司安全研究员Bob Xue称：在可见的将来，密码仍然将当作主要的身份认证途径被一直使用，但数量可能减少，少量大型互联网厂商将成为用户名和密码的“管理中心”；如短信验证码之类的低成本、易实施的多重身份验证机制将被广泛使用，而为解决密码安全问题的创新的身份识别和认证科技将不断出现。