以我們?nèi)粘I钪械膱鼍芭e個例子,當(dāng)你回到家門口,拿出鑰匙即可將鎖打開。然而門鎖唯一關(guān)心的就是鑰匙是否適合,并不在乎鑰匙在誰的手上。換句話,也就是說,甚至是一個小偷,只要拿著鑰匙,都能悄無聲息地將門打開。
那么我們換個思路,如果開門不僅需要使用鑰匙,還需要使用指紋傳感器識別指紋,或者使用攝像頭設(shè)別人臉?那么即鑰匙被其他人拿到,但是無法識別指紋或人臉,最終仍然還是無法開門。
同理,在企業(yè)中,因為員工使用的靜態(tài)密碼安全等級太低,很容易被內(nèi)部惡意人員或黑客猜到、破解,從而引發(fā)信息泄漏事件。目前,使用用戶名+密碼的方式登錄各類辦公及業(yè)務(wù)應(yīng)用(如OA、CRM、VPN、EMAIL等)的企業(yè)不在少數(shù),而且存在大部分員工會使用重復(fù)密碼、弱密碼等情況。
而靜態(tài)密碼在不法攻擊下猶如雞蛋在石頭面前,不堪一擊。
暴力破解:也被稱為窮舉法或枚舉法,一般通過枚舉,將密碼進(jìn)行逐個嘗試,直到找出正確的密碼。而運(yùn)用腳本程序語言,如使用Python,則可以極大地提高破解效率。
撞庫:通過收集已泄漏的用戶和密碼信息,生成對應(yīng)字典表,嘗試批量登錄其他網(wǎng)站后,得到一系列可以登錄的用戶信息。因為復(fù)用密碼的現(xiàn)象非常普遍,不法攻擊者可以通過獲取的個人賬戶嘗試登錄員工的工作賬戶,從而竊取企業(yè)信息。
無線入侵:通過偽造無線熱點、偽造熱點注冊頁面竊取用戶賬號密碼信息,或進(jìn)入企業(yè)無線網(wǎng)絡(luò),進(jìn)而掌握員工個人信息,然后利用這些信息登錄企業(yè)賬戶、竊取信息。
社會工程學(xué):利用企業(yè)員工的善良、信任、好奇心、貪婪等人性特點,通過人際交流的方式,用欺騙等手段使其心理受到影響,從而透露一些機(jī)密信息,然后冒用員工身份登錄并竊取信息。
當(dāng)然,不法攻擊者的攻擊手段還有很多,有些手段甚至更加“高大上”。不過,有調(diào)查表明,超過80%的黑客入侵事件,都是利用了被盜口令或弱口令。目前,身份竊取已經(jīng)成為黑客主要的攻擊點。
那么,用技術(shù)手段進(jìn)行軟件升級、硬件加固、嚴(yán)防死守就能確保網(wǎng)絡(luò)安全了嗎?
別忘了,使用軟、硬件的,其實還是企業(yè)員工,而人恰恰是網(wǎng)絡(luò)安全最薄弱的環(huán)節(jié)。目前已發(fā)生的企業(yè)信息泄露時間中,主要原因是員工疏忽、內(nèi)鬼泄露。
對企業(yè)來講,有必要用技術(shù)手段全面提升賬戶安全,把人的因素放到企業(yè)安全管理策略中,在各內(nèi)部系統(tǒng)使用多因素身份認(rèn)證(MFA)。
通過增加至少1個除口令之外的驗證因子到身份驗證過程,多因素身份認(rèn)證(MFA)解決方案可以更好地保護(hù)用戶憑證并簡化口令管理。這些額外的驗證因子可以是你擁有的東西,比如令牌;或者你具備的東西,比如指紋或人臉;還可以是某些只有你才知道的東西,比如PIN碼。
簡單地講,在應(yīng)用多因素身份認(rèn)證后,員工登錄內(nèi)部系統(tǒng)時,需要提供除了賬戶密碼以外的信息。
MFA通常使用以下幾種因素的組合:
你所知道的東西:主要是用戶名+密碼。
你擁有的東西:比如短信驗證碼、RSA等硬件設(shè)備、手機(jī)軟令牌,等等。
你本身:比如指紋、人臉、聲紋等生物特征。
當(dāng)然,網(wǎng)絡(luò)安全行業(yè)的一個共識是:沒有一種身份識別技術(shù)是萬能的。單獨(dú)來看,這三種因素中的任何一種都有各自的安全風(fēng)險。比如你所知道的東西可以被猜出、分享,你擁有的東西可以丟失、被盜走;你本身的生物特征也能用低成本方式收集、偽造和復(fù)制。
單獨(dú)使用一種方式固然不足以滿足企業(yè)對信息安全的需求,但當(dāng)它們結(jié)合起來時,卻能本質(zhì)提升安全等級。這就相當(dāng)于開門時需要鑰匙+能夠識別主人身份的攝像頭或指紋識別傳感器。
當(dāng)用戶試圖登錄賬戶時,在完成賬戶密碼的輸入之后,系統(tǒng)會要求用戶再完成另一種因素的身份驗證,比如指紋、人臉識別,或者OTP動態(tài)口令,等等。
在這種情況下,因為訪問權(quán)不取決于密碼強(qiáng)度,即使黑客竊取用戶的密碼,在登錄過程中仍然無法繞過二次強(qiáng)身份認(rèn)證,也就無法登錄賬戶。
目前人臉識別、指紋識別、OTP動態(tài)口令等身份識別技術(shù)已相對比較成熟,且在身份認(rèn)證中得到了廣泛的應(yīng)用,企業(yè)可以根據(jù)安全場景的不同,指定相應(yīng)的登錄驗證方式,從而建立起一個多層次的防御系統(tǒng),使未經(jīng)授權(quán)的人訪問企業(yè)的應(yīng)用、系統(tǒng)或網(wǎng)絡(luò)更加困難。