密码安全身份识别真的安全吗？

，利用智能卡和生物识别技术进行桌面电脑和门禁系统以增强身份验证。目前为止，FIPS 201多因子验证主要用于使用PKI验证的电脑桌面登录和数字文档签名，但这些功能对于门禁PKI也非常有效，预计以后将被广泛采用，成为联邦身份验证的最佳实践。PIV卡（可能包括用于电脑桌面登录和物理门禁的多因子验证）预计将移植到NFC手机。目前，将PACS基础设施升级至支持PIV卡，仅需要升级读卡器，并使用身份验证模块（包含所有的门禁PKI验证功能）增强现有面板和门控制器的功能。在读卡器和现有的PACS面板之间插入这些模块，无需像以前一样将现有控制器基础设施"拆除和更换"。

　　此外，也可以在商业场所提供相同的PKI验证功能。在PIV卡出现后的数年内，又定义了两种凭证卡——用于政府承包商的PIV-interoperable （PIV-I）以及用于商业用途的商业身份验证 （CIV）卡。后者是PIV-I的商业版，并且可以充分利用联邦政的PIV项目定义的标准，将可靠的开放式智能卡技术带到联邦政府机构以外的组织机构。

　　移动化

　　将物理门禁和电脑桌面登录集成到NFC手机上也是最佳实践之一——用户很少会丢失或遗忘该设备。通过提供一种、便捷的解决方案，用户无需携带单独的卡、OTP密钥或密钥卡，即可进入大楼、登录网络、访问应用程序和系统、远程访问安全网络。此外，移动门禁控制的云端身份配置模型可防止凭证卡复制，使发行临时凭证卡、注销丢失或失窃的凭证卡、根据需要监控和修改安防参数等操作更加容易。

　　尽管移动门禁控制有许多优势，该技术不可能在未来几年内完全取代物理智能卡。相反，NFC手机将与胸卡和胸章共存，这样组织可以在物理门禁系统内实施智能卡、移动设备或两者混用。为该混合门禁控制环境建立一个升级路径确保目前的技术投资在将来也可以利用，这一点非常重要。升级至新功能需要一种可扩展和适应性强的多重技术智能卡和读卡器平台，该平台能够使旧凭证卡和新凭证卡技术集成到相同的卡上，同时能够支持NFC移动平台。

　　同时，组织也必须优化传统卡的安全发行。这包括为多重验证集成关键的可视和逻辑技术，以及通过使用多重管理程序进一步提高安全性，同时还需要提高发行系统的效率。大部分ID卡发行系统依靠二维身份验证，对比个人提供的凭证以及卡上显示的身份数据（例如照片ID），以及更复杂的元素，如高分辨率图像，或激光刻蚀的永久个人化特征，这使伪造和篡改根本行不通。智能卡芯片、磁条和其他数字部门成为第三个安全维度，卡数据容量扩大后可以包含生物识别信息和其他信息，进一步增强了验证。联网智能化制卡系统可以在一步内处理所有必要任务，另一种有效的最佳实践是将读卡器/编码器集成到卡打印机硬件中，使组织能够在以后利用智能卡应用带来的优势。

　　物理门禁和电脑桌面登录以及将两种功能集成到单一解决方案的最佳实践要求使用基于开放式标准的智能卡技术，并且该技术支持许多应用并能够移植到NFC手机。通过建立这一基础并预先计划升级至新功能，各个组织可以选择在其物理门禁系统内使用两类凭证卡技术。各个组织也可以经过不断改造满足新需求，因此他们将能够保护现有基础设施的投资。