“互联网上，没人知道你是一条狗”，在网络上非常流行的这句话道出了身份认证的必要性。通过互联网敲几下键盘，一笔在线支付交易就可以瞬间完成。然而，要想搞清交易的对象，就必须依赖于身份认证。
　　“过去的身份认证主要面向固定网络范围、使用固定设备的固定员工，而今这几个‘固定’都不存在了。”EMC信息安全事业部RSA中国区资深技术顾问冯崇彪说，比如，需要身份认证的人可能是公司员工也可能是合作伙伴，所使用的设备可能是台式设备也可能是移动终端，所使用的应用可能是公司自己开发的也可能是云服务。另外，我们还需要时刻警惕来自互联网的各种身份欺诈。
　　实际上，为了满足身份认证的需求，业界已经研究出了多种身份认证方法，如早期广泛使用的静态口令，以Ukey、令牌为主要载体的动态口令等，还有现在使用较多的将静态口令与动态口令结合在一起的强身份认证——OTP（一次性密码）双因素认证等。这些方法或者安全性不够或者过于繁琐，都谈不上完美。因此，越来越多的企业开始引入基于风险的身份认证方法。
　　所谓基于风险的身份认证，就是根据操作行为身份可能存在的风险，来选择使用不同的认证方法。一般原则是，低安全风险的操作行为采用低强度的认证，高安全风险的则采用强认证或者多重认证。冯崇彪以客户登录网上银行为例进行了解释，比如，客户登录网银进行查询可能只需要口令，而要进行交易就可能需要Ukey。
　　“这种方法的好处是：整个系统都在后台，对于大部分的用户体验没有什么影响。而其挑战则是需要用户正确评估各种风险，然后选择相对应的认证方法。”冯崇彪介绍说，为了帮助用户选择合适的身份认证方法，RSA有一个身份认证决策树的免费工具，可以通过回答几个简单的问题来判断选择哪种认证技术。
　　“RSA所做的工作之一就是帮助客户进行基于风险的分析，这是所有认证解决方案的基础。”冯崇彪表示。