在日常生活中我們經常會聽到“世界上沒有一個人值得相信”這樣的話。這是在人際關系中對對方感到失望或被對方意外傷害時所使用的表達方式。不僅在現實世界中,在網絡安全方面也有類似的表達方式——這就是“零信任”模式。“零信任”甚至不信任使用賬號和密碼訪問的用戶,而只信任嚴格的身份驗證并通過它授予適當的權限。
何為“零信任”
“零信任”代表了新一代的網絡安全防護理念,它的關鍵在于打破默認的“信任”。用一句通俗的話來概括,就是“持續驗證,永不信任”。默認不信任網絡內外的任何人、任何設備和任何系統,基于身份認證和授權重新構建訪問控制的信任基礎,從而確保身份可信、設備可信、應用可信和鏈路可信。基于零信任原則,可以保障辦公系統的三個“安全”:即終端安全、鏈路安全和訪問控制安全。
零信任聽上去很“高大上”、很“專業”的樣子,其實零信任在日常生活中隨處可見。其中,為賬號設置“雙重認證”或“多重認證”就是零信任最常見的一種應用。
設置多重認證的必要性
如今,隨著以數字為中心的工作環境的逐漸建立,企業高管和員工的大部分工作都在云計算等數字環境中進行。特別是新型冠狀病毒擴散后,在非接觸環境下遠程辦公變得越來越普遍。過去,企業業務主要在內部網絡進行,因此安全重點是阻止從外部侵入的攻擊者。但是,在當今的工作環境下,很多企圖從企業網絡外部的訪問也是為了業務工作,因此安全工作必須正確區分惡意攻擊和正常訪問。
授予用戶訪問系統權限的最基本方法是賬號。用戶可以使用用戶名和密碼登錄系統,并使用所需的程序或數據。問題是在此過程中,有可能使用被盜的憑證(賬號和密碼)。所謂憑證被盜,是指賬號和密碼等被泄露,并被他人惡意利用的狀態。特別是,即使不是直接從相關企業泄露,在其他網站上使用的憑證被重復使用或使用易于猜測的密碼時,憑證也可能會被盜。
這樣的事情不僅發生在企業,也經常發生在個人用戶身上。這是一種安全事件,通常用“賬號被黑”來形容。
今年8月底,美國洛杉磯一名男子冒充蘋果職員,通過釣魚的方式騙取用戶蘋果賬號信息,并訪問用戶的蘋果iCloud賬戶,導致62萬張照片和9000多個視頻泄漏。其中,包括大量裸照和私生活視頻等。據美國聯邦調查局(FBI)透露,攻擊者利用“蘋果備份iCloud(Applebackupiccloud)”或“備份經紀人iCloud(backupagenticcloud)”等電子郵件地址發送虛假變更登錄信息的電子郵件,并誘導被釣魚欺騙的用戶輸入自己的賬號信息。據悉,約有4700多名受害者使用自己的賬號和密碼回復了電子郵件,其中至少有306人的賬號確認被訪問。
(圖片來源:韓國安全新聞網站)
如果用戶的登錄憑證被網絡攻擊者發現,將會引發嚴重的后果。實際上,在“暗網”中,從購物中心、網絡游戲網站、企業郵箱等眾多互聯網服務中泄露的用戶賬號和密碼正在被交易。 攻擊者不僅將這些獲得的賬號和密碼輸入相關服務,還會輸入多種服務,從而找到有效的賬戶信息。
也許您會說,給所有賬號設置不同的密碼不就行了嗎?但在實際生活中這種方法可操作性不強。如今,在設置密碼時,通常要求我們至少包含 6個字符、大小寫字母、數字和特殊字符,并且我們應該至少每月更改一次密碼才算安全。為此,如果您想長期使用該服務,經常會遇到多次密碼輸入錯誤的情況,最終只能通過“找密碼”功能重置密碼后登錄。這給用戶帶來了極大的不便。
因此,與其簡單地使密碼復雜多樣化,使用雙重認證或多重認證(MFA:Multi Factor Authentication)則更加的安全便利。如果說賬號和密碼是一重認證,那么除了這個方法以外,利用附加方式對用戶身份再次進行驗證也可以稱為雙重認證。雙重認證的方式有很多,可以使用ARS、安全卡、一次性密碼(OTP)、電子郵件、短信和應用程序等等。例如,在登錄賬號時,一次性密碼會發送到用戶預先注冊的智能手機或電子郵箱中,用戶必須一起輸入才能最終登錄;使用智能手機某應用程序時進行指紋或拍攝二維碼等認證方式登錄等。
身份認證的種類和特點
身份認證的種類大致可分為基于知識的認證、基于所有權的認證、基于屬性的認證、基于行為的認證以及基于使用地點的認證等。
(圖片來源:韓國安全新聞網站)
基于知識的認證(What I know)是目前最為普遍的一種認證方式,我們經常使用的賬號和密碼就屬于該認證方式,修改賬號信息時設置的“小時候養的小狗的名字”等問題也屬于基于知識的認證。
基于所有權的認證(What Ihave)包括用戶擁有的一次性密碼、智能手機、安全卡、安全令牌等,如今智能手機和專用應用程序(PASS等私有認證書)已被普遍使用。
基于屬性的認證(What Iam)是一種通過指紋或虹膜等人的獨特特征進行身份認證的方式,一般與其他認證方式一起結合使用。
基于行為的認證(What Ido)是指通過某個人的重復動作或使用設備的方式等進行認證,如手寫簽名等多種方式正在被研究和驗證。
基于使用地點的認證(Where you are)是指當自己擁有的設備連接到特定網絡時才能得到認證的方式。例如,當智能手機連接到家里使用的路由器時,無需解鎖屏幕即可立即使用;在監獄、保密部門等特殊場所要想使用GPS或移動通信時,只有在特定地點才能訪問系統等。
這些身份認證方式一般被綜合使用,特別是在具有生物識別功能的智能手機普及的今天,這種趨勢正在進一步擴大。例如,如果您想使用賬號和密碼登錄網站,就會通過安裝在智能手機上的專用應用程序發送相關認證批準信息。在此過程中,已經使用了基于知識的認證和基于所有權的認證。特別是,如果為了執行認證用應用程序,在解鎖智能手機或解鎖應用程序時使用了指紋識別,就等于增加了基于屬性的認證。
像這樣,隨著身份認證使用的要素類型和步驟越來越多,通過簡單的密碼泄露來竊取賬號就會變得越來越困難。例如,即使網絡攻擊者意外獲得了用戶的賬號和密碼,如果沒有用戶智能手機也無法執行身份驗證應用程序;即使智能手機被盜,也無法通過指紋解鎖(基于屬性的認證)。因此,即使您的憑證被盜,也可以保護您的賬號和信息安全。
結語
就像前面所提到的那樣,日常生活中我們經常聽說或親身經歷過“賬號被黑”的事情。例如某人銀行賬戶里的上百萬資金不翼而飛;有人擅自修改了您的QQ密碼;我們有時會收到有人在異地試圖登錄您的電子郵箱或銀行賬號的警告通知等。特別是隨著新型冠狀病毒疫情的擴散,數字服務的使用量激增,賬號信息泄露的風險正在增加。
那么我們該如何更好地保護我們的賬號安全呢?預防賬號被黑,請從設置多重認證開始!
我們使用的電子郵箱和銀行賬戶等主要服務都支持多重認證功能。在自己的賬號設置中一旦啟用多重認證,他人就無法輕易進行非法登錄。并且如果發生有人試圖非法登錄賬戶時,系統就會告知用戶,以便用戶可以及時更改密碼等采取安全措施。大部分服務在登錄后可以在賬戶設置項目中找到“安全設置”或“安全”等菜單,進行多重認證的相關設置。如果您沒有設置,建議現在就設置。
