WRT 到智能卡被用作计算机访问的身份验证因素，智能卡上的私钥可以通过 PIN/密码保护。所以智能卡认证除了“你有什么”之外，还可以提供“你知道什么”的附加因素。

对于大多数用户而言，与管理多组物理身份验证令牌的配置/分发和操作的成本相比，风险是可以接受的。我见过不同组织的人员和顾问为他们所咨询的各种组织携带一系列智能卡和 USB 令牌。当然，为身份管理提供服务提供商模型还有一段时间，提供更简单的身份验证模型（即外包第二因素身份验证、openid、hoth 等）是一种趋势。

对于风险较高的用户或位置，我经常看到用于身份验证的其他因素。例如，三个因素相当普遍（生物特征、卡片、密码、重量）。此外，我曾与组织合作过，我只需要在工作时间在 Mantrap 中出示卡片 + 生物特征，但在工作时间之后，我还需要使用额外的因素。此外，高风险用户通常会受到身份验证密钥与签名密钥的额外隔离。因此，第二个设备用于包含不可否认的签名密钥来授权某些交易。

拥有非常敏感信息的组织和用户会利用额外的控制来牺牲简单性和速度来保证安全。即使是简单的 mantrap 也比 turnstyle 需要更长的时间来验证用户身份。

话虽如此，整合所有职能的组织通常规模更大，拥有多个物理位置。这样的组织可以通过整合到一个供应商、一张卡等中来实现成本节约。虽然我看到更多的中小型组织采用整合访问控制的路线，但它们很少而且相差甚远（密码仍然很常见，到目前为止，比实施硬件身份验证便宜）。

如果有的话，安全 101 包括一个关于深度防御的长篇大论和讨论。只要风险得到识别和管理，合并职能并不一定会带来更多风险。

为什么要把两者分开？您可以使用 PKI 非接触式双界面卡和读卡器来做到这一点，或者只是为那些在敏感环境中需要额外安全性的人部署接触卡。

使用具有 13.56 MHz 技术和兼容读卡器的非接触式卡非常适合需要第二因素的用户进行高级身份验证。如果员工可以访问系统上的通用程序，那么为该用户在双界面卡上花费更多是没有意义的。使用普通的非接触式卡就可以了。

但是，一些用户可以访问高度敏感的信息，并且可能需要更强大的信息。这可以通过表面嵌入金芯片的接触式智能卡或启用 PKI 的双接口卡来实现，看起来像没有金芯片的普通非接触式卡，并允许用户同时拥有两种形式的安全性. 这些卡要贵得多，而且总体上成本高得令人望而却步。

一个很好的解决方案是确定哪些用户可以访问哪些程序，然后决定谁将从使用更昂贵的卡中受益，并为那些不使用的人坚持使用更便宜的卡。

成本是不使用两个单独的徽章的主要因素，用户必须跟上。

我工作的公司拥有可以为大多数类型的卡和读卡器管理所有这些的软件，该软件还包含其他可以使用的功能，例如基于风险的身份验证、紧急访问、PIN 和 PKI 证书的自我重置等。这里有很多选择。