问：如果网络采用双因素认证保护措施，是否仍然存在用户证书被盗窃的风险呢?

答：这是肯定的，绝对存在风险。双因素认证系统不能保护你的网络不受任何侵害。虽然双因素认证系统提供了一个额外的保护层并且有助于减缓攻击者的进攻，但是，这个系统不能完全阻止入侵者。

　　让我们考察一下黑客绕过双因素认证系统的一些方法，以及你们应该做些什么来防止这种事情的发生。

　　就像黑客能够偷窃一个单因素认证设备一样，双因素认证设备也同样可以被盗窃。例如，一个简单的系统可以使用一个用户ID和一个带有一次性口令令牌的口令。这个令牌每隔60秒可生成一个新的6位或者8位数字的PIN号码。与能够在任何时间都使用静态口令不同，这个PIN号码变换得这样频繁，恶意用户在60秒的时间内要突破这个口令是不可能的。然而，这两种因素仍然能够被盗窃。可能会出现这种情况：有人窃取了一个用户的ID和口令。现在，他们有了一部分信息。然后，那个丢失了用户ID和口令的用户又无意识地把他们的令牌留在了桌子上并且离开了。这个不道德的窃号者现在就有了这个用户登录的两个密钥了。事情就是这样简单。

　　攻破双因素认证系统的另一种方法是中间人攻击。这种攻击利用在用户的工作站和这个认证系统之间恶意建立的一个代理服务器。一个黑客在这台代理服务器上实时捕捉通过这个代理服务器的全部证书。一旦捕捉到这种信息，这个黑客就可以重置静态的用户ID和口令，命令一个新的一次性口令并且接管这个账号继续做一些事情。

　　双因素系统使用一种智能卡和PIN也可能被攻破，如果这个系统这两种因素被盗窃的话。有很多方法可以提取嵌入在智能卡中的芯片中的数据。黑客们要完成这项任务需要做的一切事情就是偷窃这个PIN。

　　这里的要点不是抛弃你崭新的双因素认证系统，而是要确保监视、维护、控制、清点和登录这个系统都是出于正常使用的目的。虽然双因素不像单因素系统那样容易攻破，但是，攻破双因素认证系统是可能的并且是能够发生的。