准备好更安全的身份验证?沐鸣平台建议您尝试这些密码替代和增强功能 - 沐鸣平台资讯 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司 

全国统一热线:0755-29925678

沐鸣娱乐新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

准备好更安全的身份验证?沐鸣平台建议您尝试这些密码替代和增强功能

浏览次数:702日期:2019-07-05小编:沐鸣

  欢迎访问沐鸣平台网址,关于使用密码进行身份验证,您可以说的最好的事情就是它总比没有好。然而,像Equifax这样引人注目的漏洞已经暴露了数以百万计的密码和用户ID,即使是那种微弱的赞誉也会引起质疑。如果消费者不认为他们的密码中至少有一些受到了损害,那么他们只会产生危险的虚假安全感。


  仍然依赖密码身份验证来访问重要客户和公司数据的公司也在这样做。仅限密码的保护会永久性地被破坏,任何依赖它的组织都会将其业务和声誉置于风险之中。即使他们避免违规,由于Equifax,现在对密码保护缺点的认识要高得多。如果这就是您保护客户数据的方式,他们会三思而后行,相信您。


  双因素身份验证(2FA),多因素身份验证(MFA),行为分析和生物识别等替代方案已有一段时间可用,但采用率较低。不断增长的威胁形势和消费者意识正在降低实施这些选择的障碍 - 这些障碍主要是用户阻力,复杂性和投资回报率。


  所有这些替代品都可能受到损害,有些更容易受到影响。 “所有身份验证都是指纹,面部,虹膜扫描 - 所有这些都被分解为位和字节,它们实际上是一个共享的秘密,”IBM X-Force Red安全测试的高级管理顾问Dustin Heywood说。球队。因为这些共享秘密像密码一样以数字方式存储,所以理论上可以窃取它们。不同的是,这样做更难。


  我们的目标是让大多数网络罪犯在其他地方寻找更容易获取的访问权限变得如此困难。许多公司使用认证方法的组合,具体取决于风险,用户考虑因素和受保护数据的价值,以达到合理的安全预期。


用户在强认证中看到价值

  由于用户的抵制或冷漠,组织和面向消费者的网站的最佳认证计划可能会出错。最近备受瞩目的违规行为的少数积极成果之一是消费者开始理解强认证的价值,并且似乎更愿意接受一些不便。


  独立安全研究员Jessy Irwin认为,这种趋势始于2015年初的Anthem漏洞。“[消费者]担心医疗保健信息会消失。”有了Equifax,现在这种担忧包括金融账户。


  虽然消费者可能更愿意接受更复杂的身份验证来保护健康和财务数据,但并非所有服务提供商都提供此选项。 “许多银行,因为很久以前就已经完成的工作,认为将安全问题与账户挂钩是第二个因素,实际上并非如此,”欧文说。 “人们需要额外的保护层,并且没有选择打开任何东西。他们必须去客户服务部门或客户代表或连锁店甚至要求这些功能。“


  缺乏一种请求增加安全层的机制导致一些公司认为没有对它们的需求。 “还有很多工作要做。人们知道他们需要什么,但他们不知道是什么。当他们发现事情是什么时,有时他们没有选择打开它。这真是一场艰苦的战斗,“欧文说。


  竞争问题阻碍了一些公司实施可能使其服务难以访问的不同身份验证流程。 “当涉及到消费者方面时,他们非常害怕影响用户体验,”基于情报的身份验证提供商SecureAuth的身份战略高级副总裁Robert Block说。 “很多情况是由于缺乏理解,即如果能够满足正确的变量,就有办法做到这一点并不会产生很大影响。”


  “消费者变得越来越聪明。他们说,'如果我和你做生意,你保护我的凭据吗?你有2FA吗?如果是这样,我对这些方法的控制程度如何?“用户懒惰并且不希望他们的用户体验中断的想法可能是一个神话,因为违规的影响,”Block说。


  实施更强认证的挑战不在于技术。 “它围绕着人,流程和文化,”布洛克说。 “你能在桌子周围找到合适的人来决定什么是可接受的风险吗?要支持的用例?我们将支持多少因素,以及如何将这些因素呈现给最终用户?“


为了获得用户的认可,Block强调需要灵活。 “无论你能承受什么样的风险,都应尽量保持灵活性,以便最终用户感觉自己能够掌控。”


仅密码身份验证的危险

  对于黑客而言,破解或窃取密码和用户ID仅仅依赖于它们就太容易了。即使你遵循建议保证他们的安全,这也是事实。 “有许多安全要求使[密码]更弱,而不是更强,”欧文说。 “很多人认为,如果他们经常更改密码,他们就会为良好的安全行为做出贡献。他们不是。生成强密码的许多规则都是倒退的。它们使人们更容易破解密码。“


生成强密码的许多规则都是倒退的。它们使人们更容易破解密码。

-Jessy Irwin

Irwin所指的规则被广泛使用,并基于标准组织(如美国国家标准与技术研究院(NIST))的早期建议。 NIST最近修订了这些规则,以更好地满足当今威胁形势的现实,但大多数组织尚未采用它们。


  “密码问题不是密码本身。它可以在某些方面加强,“海伍德说。 “问题的关键是密码是共享的秘密。人们在站点之间重复使用密码,因此您不仅依赖于您正在使用的站点的安全性,还依赖于您曾使用过该密码的每个站点的安全性。秘密总是需要旋转。“


  使用难以反转的散列算法转换密码。海伍德表示,有太多网站正在使用数十年之久并且已知会受到损害的散列算法。使用今天的高速计算机,黑帽子在破坏时反向窃取密码哈希相对容易。 “现在有一些框架,我们可以快速验证这些凭据,防止其他网站遭到破坏,甚至可以实时对其他网站进行验证。”


  为了最大限度地降低密码泄露的风险,越来越多的人使用密码保险库,使用伪随机生成器使用非常长的字符串对密码进行加密和随机化。 “由于实施不当,一些伪随机发生器已被打破,但它们总比没有好,”海伍德说。


双因素身份验证:向前迈出一小步

  除了密码之外,要求用户提供另一条识别信息已成为安全认证的最低标准。该信息通常只是用户知道他们必须回答安全问题的地方,例如“你的第一只狗的名字是什么”。它可能是通过短信发送到他们的手机或令牌设备的验证码 - 他们拥有的东西。


这里的“安全”是一个相对术语。在Equifax漏洞中,安全问题的答案也因某些用户而受到损害。通过一些研究很容易找到一些个人信息,例如母亲的婚前姓氏或某个人出生的城市。


  通过短信发送验证码并不是更好。事实上,新的NIST指南警告黑客可以拦截这些代码。部分原因在于SS7(7号信令系统)的固有漏洞,这是1975年开发的一种协议,是通过电话网络进行信息交换的基础。利用此漏洞的黑客可以访问所有网络流量。


当知道代码的唯一方法是持有一个设备时,它会使得大规模攻击变得更加困难 - 几乎是不可能的

- 哈里斯维尔德洛夫

  欧文说,SIM卡劫持也在增加。 “社交工程师将致电AT&T或Verizon客户服务热线并伪装成另一个人来设置新手机或更改帐户。他们现在可以控制设备授权,他们可以拦截短信代码,“她说。 Irwin指出,这种类型的攻击针对黑客知道具有某种价值的人,比如比特币账户或对重要数据的高级访问。


  使用显示验证码的令牌设备或令牌智能手机应用程序更安全。 “您不必依赖其他机制来获取[验证码]。有人必须访问您必须攻击第二个因素的特定令牌。这是很多工作,“欧文说。 “[代币]是2FA代码最强大,最好的交付方式。”


  消费者应用程序令牌的问题在于人们拒绝使用它们,因为它们需要单独的设备和自己的应用程序。 “令牌可能需要额外的工作,”欧文说。她认为,如果消费者更好地了解这些好处并且令牌应用程序供应商使他们对消费者更加友好,那么他们将被更广泛地使目前,令牌用于提供验证码的主要用途是在企业环境中。


  无论是令牌还是智能手机,要求设备的所有权都可以限制网络犯罪分子可以造成的损害。 Edgewise Networks的联合创始人兼首席技术官Harry Sverdlove说:“当知道代码的唯一方法就是持有一个设备时,就会更难 - 几乎不可能 - 进行大规模攻击。”


多因素身份验证:如果实施得当,则更强

  MFA背后的想法是让黑客更加努力地获取对其他人帐户的访问权限。 MFA通常需要用户ID和密码,您知道的内容以及您拥有的内容。 “如果多因素在起作用而且我有你的密码,我会找到一个管理员懒惰但没有使用多因素的地方,”海伍德说。 “MFA不是一个银弹,但除了来自专门的攻击者之外,阻止大多数攻击都非常有效。”


如果多因素在播放并且我有你的密码,我将找到管理员懒惰并且没有使用多重因素的地方。

- 达斯汀海伍德

  MFA通常是一个分阶段的过程,如果引发红旗,则要求用户提供额外的识别因素。它通常与基于风险的身份验证配对(见下文)。例如,用户尝试从新设备登录或尝试访问更受保护的区域。 “常规地看着我的余额,[我的银行]不会关心[关于要求第二个因素],”海伍德说。 “如果我试图向英国转移1000万美元,他们会要求我的第一胎,很多问题,血液样本等。”


从2017年1月1日到10月5日,Block表示SecureAuth处理的大约88%的身份验证尝试都是在第一个因素上完成的。 “为什么你想要每次给第二个因素带来负担?”他说。


“我们需要让MFA无处不在,”Sverdlove说。他认为,最可靠的方案需要用户知道的东西(密码,安全问题的答案),你拥有的东西(智能手机,令牌设备),你的位置,以及你的东西(生物识别,行为分析)。


社交登录:有用但有风险

  与大多数其他服务相比,Google,Facebook,Twitter和Instagram等大型社交媒体网站通常可以更好地保护用户ID和密码数据。他们还提供2FA,至少作为选项,并使用分析来发现可能触发请求更多识别信息的非法登录尝试。


  通过社交登录,网站和移动应用程序允许人们使用他们的社交媒体帐户登录,通常作为标准密码身份验证的选项。用户将其视为一种便利而非增加的安全性,但网站和Web服务提供商获得了一定程度的安全身份验证,否则他们可能无法获得自己的资源。社交媒体网站和用于社交登录的身份服务提供商提供员工和技术,以建立强大的身份验证功能,并围绕用户身份进行现代化保护,Janrain首席执行官Jim Kaskade表示,他的客户身份和访问管理解决方案套件包括社交登录。 “我们站在那些在安全方面投入巨资的巨头的肩上,”他说。


  社交登录的巨大风险是,如果Google帐户遭到入侵,用户通过Google访问的所有网站都将遭到入侵。攻击者可以通过多种方式控制社交帐户:社交工程,创建虚假个人资料,或在黑暗网络上购买用户ID和密码。如果用户打开2FA等可选身份验证功能,则可以降低此风险,但许多人不这样做。

关注沐鸣官网,获取更多最新行业资讯。


如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有