En 400-6655-581
5
返回列表
> 资源中心 > 身份安全 | 静态密码在不法攻击下犹如鸡蛋碰石头,不堪一击!

身份安全 | 静态密码在不法攻击下犹如鸡蛋碰石头,不堪一击!

2020-07-16浏览次数:780
用户认证是所有公司安全战略的重要部分,确保仅仅是授权用户才能访问有价值的数据和资源。在用户名和密码之外,越来越多的企业开始使用额外的认证方法,来确认用户的身份。


以我们日常生活中的场景举个例子,当你回到家门口,拿出钥匙即可将锁打开。然而门锁唯一关心的就是钥匙是否适合,并不在乎钥匙在谁的手上。换句话,也就是说,甚至是一个小偷,只要拿着钥匙,都能悄无声息地将门打开。



那么我们换个思路,如果开门不仅需要使用钥匙,还需要使用指纹传感器识别指纹,或者使用摄像头设别人脸?那么即钥匙被其他人拿到,但是无法识别指纹或人脸,最终仍然还是无法开门。


同理,在企业中,因为员工使用的静态密码安全等级太低,很容易被内部恶意人员或黑客猜到、破解,从而引发信息泄漏事件。目前,使用用户名+密码的方式登录各类办公及业务应用(如OA、CRM、VPN、EMAIL等)的企业不在少数,而且存在大部分员工会使用重复密码、弱密码等情况。


而静态密码在不法攻击下犹如鸡蛋在石头面前,不堪一击。


1

暴力破解:也被称为穷举法或枚举法,一般通过枚举,将密码进行逐个尝试,直到找出正确的密码。而运用脚本程序语言,如使用Python,则可以极大地提高破解效率。

2

撞库通过收集已泄漏的用户和密码信息,生成对应字典表,尝试批量登录其他网站后,得到一系列可以登录的用户信息。因为复用密码的现象非常普遍,不法攻击者可以通过获取的个人账户尝试登录员工的工作账户,从而窃取企业信息。

3

无线入侵:通过伪造无线热点、伪造热点注册页面窃取用户账号密码信息,或进入企业无线网络,进而掌握员工个人信息,然后利用这些信息登录企业账户、窃取信息。

4

社会工程学:利用企业员工的善良、信任、好奇心、贪婪等人性特点,通过人际交流的方式,用欺骗等手段使其心理受到影响,从而透露一些机密信息,然后冒用员工身份登录并窃取信息。



当然,不法攻击者的攻击手段还有很多,有些手段甚至更加“高大上”。不过,有调查表明,超过80%的黑客入侵事件,都是利用了被盗口令或弱口令。目前,身份窃取已经成为黑客主要的攻击点



那么,用技术手段进行软件升级、硬件加固、严防死守就能确保网络安全了吗?


别忘了,使用软、硬件的,其实还是企业员工,而人恰恰是网络安全最薄弱的环节。目前已发生的企业信息泄露时间中,主要原因是员工疏忽、内鬼泄露。



对企业来讲,有必要用技术手段全面提升账户安全,把人的因素放到企业安全管理策略中,在各内部系统使用多因素身份认证(MFA)


通过增加至少1个除口令之外的验证因子到身份验证过程,多因素身份认证(MFA)解决方案可以更好地保护用户凭证并简化口令管理。这些额外的验证因子可以是你拥有的东西,比如令牌;或者你具备的东西,比如指纹或人脸;还可以是某些只有你才知道的东西,比如PIN码。


简单地讲,在应用多因素身份认证后,员工登录内部系统时,需要提供除了账户密码以外的信息。


MFA通常使用以下几种因素的组合:

你所知道的东西:主要是用户名+密码。


你拥有的东西:比如短信验证码、RSA等硬件设备、手机软令牌,等等。


你本身:比如指纹、人脸、声纹等生物特征。


当然,网络安全行业的一个共识是:没有一种身份识别技术是万能的。单独来看,这三种因素中的任何一种都有各自的安全风险。比如你所知道的东西可以被猜出、分享,你拥有的东西可以丢失、被盗走;你本身的生物特征也能用低成本方式收集、伪造和复制。


单独使用一种方式固然不足以满足企业对信息安全的需求,但当它们结合起来时,却能本质提升安全等级。这就相当于开门时需要钥匙+能够识别主人身份的摄像头或指纹识别传感器。


当用户试图登录账户时,在完成账户密码的输入之后,系统会要求用户再完成另一种因素的身份验证,比如指纹、人脸识别,或者OTP动态口令,等等。


在这种情况下,因为访问权不取决于密码强度,即使黑客窃取用户的密码,在登录过程中仍然无法绕过二次强身份认证,也就无法登录账户。


目前人脸识别、指纹识别、OTP动态口令等身份识别技术已相对比较成熟,且在身份认证中得到了广泛的应用,企业可以根据安全场景的不同,指定相应的登录验证方式,从而建立起一个多层次的防御系统,使未经授权的人访问企业的应用、系统或网络更加困难。