身份安全 | 靜態(tài)密碼在不法攻擊下猶如雞蛋碰石頭，不堪一擊！

以我們日常生活中的場景舉個例子，當你回到家門口，拿出鑰匙即可將鎖打開。然而門鎖唯一關心的就是鑰匙是否適合，并不在乎鑰匙在誰的手上。換句話，也就是說，甚至是一個小偷，只要拿著鑰匙，都能悄無聲息地將門打開。

那么我們換個思路，如果開門不僅需要使用鑰匙，還需要使用指紋傳感器識別指紋，或者使用攝像頭設別人臉？那么即鑰匙被其他人拿到，但是無法識別指紋或人臉，最終仍然還是無法開門。

同理，在企業(yè)中，因為員工使用的靜態(tài)密碼安全等級太低，很容易被內部惡意人員或黑客猜到、破解，從而引發(fā)信息泄漏事件。目前，使用用戶名+密碼的方式登錄各類辦公及業(yè)務應用（如OA、CRM、VPN、EMAIL等）的企業(yè)不在少數(shù)，而且存在大部分員工會使用重復密碼、弱密碼等情況。

而靜態(tài)密碼在不法攻擊下猶如雞蛋在石頭面前，不堪一擊。

當然，不法攻擊者的攻擊手段還有很多，有些手段甚至更加“高大上”。不過，有調查表明，超過80%的黑客入侵事件，都是利用了被盜口令或弱口令。目前，身份竊取已經成為黑客主要的攻擊點。

那么，用技術手段進行軟件升級、硬件加固、嚴防死守就能確保網絡安全了嗎？

別忘了，使用軟、硬件的，其實還是企業(yè)員工，而人恰恰是網絡安全最薄弱的環(huán)節(jié)。目前已發(fā)生的企業(yè)信息泄露時間中，主要原因是員工疏忽、內鬼泄露。

對企業(yè)來講，有必要用技術手段全面提升賬戶安全，把人的因素放到企業(yè)安全管理策略中，在各內部系統(tǒng)使用多因素身份認證（MFA）。

通過增加至少1個除口令之外的驗證因子到身份驗證過程，多因素身份認證（MFA）解決方案可以更好地保護用戶憑證并簡化口令管理。這些額外的驗證因子可以是你擁有的東西，比如令牌；或者你具備的東西，比如指紋或人臉；還可以是某些只有你才知道的東西，比如PIN碼。

簡單地講，在應用多因素身份認證后，員工登錄內部系統(tǒng)時，需要提供除了賬戶密碼以外的信息。

MFA通常使用以下幾種因素的組合：

當然，網絡安全行業(yè)的一個共識是：沒有一種身份識別技術是萬能的。單獨來看，這三種因素中的任何一種都有各自的安全風險。比如你所知道的東西可以被猜出、分享，你擁有的東西可以丟失、被盜走；你本身的生物特征也能用低成本方式收集、偽造和復制。

單獨使用一種方式固然不足以滿足企業(yè)對信息安全的需求，但當它們結合起來時，卻能本質提升安全等級。這就相當于開門時需要鑰匙+能夠識別主人身份的攝像頭或指紋識別傳感器。

當用戶試圖登錄賬戶時，在完成賬戶密碼的輸入之后，系統(tǒng)會要求用戶再完成另一種因素的身份驗證，比如指紋、人臉識別，或者OTP動態(tài)口令，等等。

在這種情況下，因為訪問權不取決于密碼強度，即使黑客竊取用戶的密碼，在登錄過程中仍然無法繞過二次強身份認證，也就無法登錄賬戶。

目前人臉識別、指紋識別、OTP動態(tài)口令等身份識別技術已相對比較成熟，且在身份認證中得到了廣泛的應用，企業(yè)可以根據(jù)安全場景的不同，指定相應的登錄驗證方式，從而建立起一個多層次的防御系統(tǒng)，使未經授權的人訪問企業(yè)的應用、系統(tǒng)或網絡更加困難。