En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>MFA(多因素認證)> 身份安全 | 靜態(tài)密碼在不法攻擊下猶如雞蛋碰石頭,不堪一擊!

身份安全 | 靜態(tài)密碼在不法攻擊下猶如雞蛋碰石頭,不堪一擊!

文章

2020-07-16瀏覽次數(shù):326
用戶認證是所有公司安全戰(zhàn)略的重要部分,確保僅僅是授權用戶才能訪問有價值的數(shù)據(jù)和資源。在用戶名和密碼之外,越來越多的企業(yè)開始使用額外的認證方法,來確認用戶的身份。

 

以我們日常生活中的場景舉個例子,當你回到家門口,拿出鑰匙即可將鎖打開。然而門鎖唯一關心的就是鑰匙是否適合,并不在乎鑰匙在誰的手上。換句話,也就是說,甚至是一個小偷,只要拿著鑰匙,都能悄無聲息地將門打開。

 

 

 

那么我們換個思路,如果開門不僅需要使用鑰匙,還需要使用指紋傳感器識別指紋,或者使用攝像頭設別人臉?那么即鑰匙被其他人拿到,但是無法識別指紋或人臉,最終仍然還是無法開門。

 

同理,在企業(yè)中,因為員工使用的靜態(tài)密碼安全等級太低,很容易被內部惡意人員或黑客猜到、破解,從而引發(fā)信息泄漏事件。目前,使用用戶名+密碼的方式登錄各類辦公及業(yè)務應用(如OA、CRM、VPN、EMAIL等)的企業(yè)不在少數(shù),而且存在大部分員工會使用重復密碼、弱密碼等情況。

 

而靜態(tài)密碼在不法攻擊下猶如雞蛋在石頭面前,不堪一擊。

 

1

暴力破解:也被稱為窮舉法或枚舉法,一般通過枚舉,將密碼進行逐個嘗試,直到找出正確的密碼。而運用腳本程序語言,如使用Python,則可以極大地提高破解效率。

2

撞庫通過收集已泄漏的用戶和密碼信息,生成對應字典表,嘗試批量登錄其他網(wǎng)站后,得到一系列可以登錄的用戶信息。因為復用密碼的現(xiàn)象非常普遍,不法攻擊者可以通過獲取的個人賬戶嘗試登錄員工的工作賬戶,從而竊取企業(yè)信息。

3

無線入侵:通過偽造無線熱點、偽造熱點注冊頁面竊取用戶賬號密碼信息,或進入企業(yè)無線網(wǎng)絡,進而掌握員工個人信息,然后利用這些信息登錄企業(yè)賬戶、竊取信息。

4

社會工程學:利用企業(yè)員工的善良、信任、好奇心、貪婪等人性特點,通過人際交流的方式,用欺騙等手段使其心理受到影響,從而透露一些機密信息,然后冒用員工身份登錄并竊取信息。

 

 

當然,不法攻擊者的攻擊手段還有很多,有些手段甚至更加“高大上”。不過,有調查表明,超過80%的黑客入侵事件,都是利用了被盜口令或弱口令。目前,身份竊取已經(jīng)成為黑客主要的攻擊點。

 

 

那么,用技術手段進行軟件升級、硬件加固、嚴防死守就能確保網(wǎng)絡安全了嗎?

 

別忘了,使用軟、硬件的,其實還是企業(yè)員工,而人恰恰是網(wǎng)絡安全最薄弱的環(huán)節(jié)。目前已發(fā)生的企業(yè)信息泄露時間中,主要原因是員工疏忽、內鬼泄露。

 

 

 

對企業(yè)來講,有必要用技術手段全面提升賬戶安全,把人的因素放到企業(yè)安全管理策略中,在各內部系統(tǒng)使用多因素身份認證(MFA)。

 

通過增加至少1個除口令之外的驗證因子到身份驗證過程,多因素身份認證(MFA)解決方案可以更好地保護用戶憑證并簡化口令管理。這些額外的驗證因子可以是你擁有的東西,比如令牌;或者你具備的東西,比如指紋或人臉;還可以是某些只有你才知道的東西,比如PIN碼。

 

簡單地講,在應用多因素身份認證后,員工登錄內部系統(tǒng)時,需要提供除了賬戶密碼以外的信息。

 

MFA通常使用以下幾種因素的組合:

你所知道的東西:主要是用戶名+密碼。

 

你擁有的東西:比如短信驗證碼、RSA等硬件設備、手機軟令牌,等等。

 

你本身:比如指紋、人臉、聲紋等生物特征。

 

當然,網(wǎng)絡安全行業(yè)的一個共識是:沒有一種身份識別技術是萬能的。單獨來看,這三種因素中的任何一種都有各自的安全風險。比如你所知道的東西可以被猜出、分享,你擁有的東西可以丟失、被盜走;你本身的生物特征也能用低成本方式收集、偽造和復制。

 

單獨使用一種方式固然不足以滿足企業(yè)對信息安全的需求,但當它們結合起來時,卻能本質提升安全等級。這就相當于開門時需要鑰匙+能夠識別主人身份的攝像頭或指紋識別傳感器。

 

當用戶試圖登錄賬戶時,在完成賬戶密碼的輸入之后,系統(tǒng)會要求用戶再完成另一種因素的身份驗證,比如指紋、人臉識別,或者OTP動態(tài)口令,等等。

 

在這種情況下,因為訪問權不取決于密碼強度,即使黑客竊取用戶的密碼,在登錄過程中仍然無法繞過二次強身份認證,也就無法登錄賬戶。

 

目前人臉識別、指紋識別、OTP動態(tài)口令等身份識別技術已相對比較成熟,且在身份認證中得到了廣泛的應用,企業(yè)可以根據(jù)安全場景的不同,指定相應的登錄驗證方式,從而建立起一個多層次的防御系統(tǒng),使未經(jīng)授權的人訪問企業(yè)的應用、系統(tǒng)或網(wǎng)絡更加困難。