在本文中，专家David Strom评估了老牌安全公司Symantec的综合多因素身份验证（MFA）产品VIP的优缺点。

赛门铁克是IT行业规模最大最知名的安全供应商之一。Symantec Validation and ID Protection Service（VIP服务）是一款多因素身份验证（MFA）产品，它采用生物识别技术和智能手机来补充各种服务器和服务中使用的标准用户名/密码登录。

VIP及其他类似MFA产品的目的在于：阻止未经授权的用户登录企业资源、应用和服务，即使在密码已经被泄露或者用户为很多不同服务使用相同密码的情况下。该产品很适合中型和大型企业，特别是想要利用各种外部软件即服务或基于SaaS服务的企业。

赛门铁克没有使用版本号来区分其软件版本，但该公司声称他们每个季度会升级其基于云的VIP服务。目前，该产品由三种支持水平：Bronze（仅在营业时间提供支持），在2014年11月，当前客户无需交纳额外费用就可以自动升级到Gold支持（24/7）。还有Platinum支持，每个客户账户会有专门的支持管理人员。

令牌和应用

赛门铁克在多因素领域发展已有一段时间，这可以从其支持的移动手机列表及其广泛的令牌选择可以证明，包括台式机和智能手机应用（同时使用短信服务和语音呼叫）以及各种硬件令牌。这使得VIP（与Vasco和RSA）跻身顶级MFA服务行列。

VIP还为常见应用提供30多种不同的集成方法，包括SharePoint、思科、瞻博网络和SonicWall VPN等。这让它非常灵活，并能够支持更广泛的应用集，提供更强的身份验证方法，这再次证明了赛门铁克在MFA领域的资历。

VIP登录凭证有多么流行呢，目前它们被用于在100多个不同网站进行身份验证，这也再次表明赛门铁克的市场份额。此外，客户可以添加一些JavaScript代码来直接整合其他基于Web的应用。这增加了VIP的灵活性，加强了企业可能开发和部署的定制开发应用的安全性。

管理

赛门铁克推出针对VIP的基于风险的分析的附加产品，该产品可以基于该软件看到的风险来调整登录过程，例如，判断出有人正从两个相距很远的地理位置同时登录的情况。该公司还提供了VIP企业级网关，增加了Active Directory/Radius以及VPN和对Web服务器的本地网络访问，用于Windows或Linux服务器。

对于初次注册，一旦用户被认证为有效，他们就可以去自助服务门户注册和管理所有登录凭证。有些赛门铁克的竞争对手不提供自助服务功能或者类似功能。

当然，VIP还有一些不应被忽视的缺点。

首先，相较竞争对手而言，其提供的可定制化报告较少，尽管其报告可以被导出，但也只是其竞争对手提供的基本功能。

其次是缺乏对细粒度或组访问的政策：每个用户必须使用特定令牌登录凭证来设置。其竞争对手（例如RSA、Vasco和SecureAuth）具有更细粒度政策，且更容易设置。

还有一个缺点是，赛门铁克为每条短信收取7美分，基于语音的身份验证收取25美分。这曾经是提供额外身份验证因素的非常流行的做法，因为几乎每个人都有手机可以用于身份验证过程。然而，对于不断增加的中间人攻击，这种身份验证方法正开始失去吸引力。

总结

赛门铁克已经在身份验证领域发展了很长一段时间，其VIP多因素身份验证产品拥有最多的可用令牌和应用集。然而，这个MFA产品的安装是其最大的缺点，部分需要同时配置云计算和内部部署服务。