身份安全 | 靜態(tài)密碼在不法攻擊下猶如雞蛋碰石頭，不堪一擊！

以我們?nèi)粘Ｉ钪械膱?chǎng)景舉個(gè)例子，當(dāng)你回到家門口，拿出鑰匙即可將鎖打開(kāi)。然而門鎖唯一關(guān)心的就是鑰匙是否適合，并不在乎鑰匙在誰(shuí)的手上。換句話，也就是說(shuō)，甚至是一個(gè)小偷，只要拿著鑰匙，都能悄無(wú)聲息地將門打開(kāi)。

那么我們換個(gè)思路，如果開(kāi)門不僅需要使用鑰匙，還需要使用指紋傳感器識(shí)別指紋，或者使用攝像頭設(shè)別人臉？那么即鑰匙被其他人拿到，但是無(wú)法識(shí)別指紋或人臉，最終仍然還是無(wú)法開(kāi)門。

同理，在企業(yè)中，因?yàn)閱T工使用的靜態(tài)密碼安全等級(jí)太低，很容易被內(nèi)部惡意人員或黑客猜到、破解，從而引發(fā)信息泄漏事件。目前，使用用戶名+密碼的方式登錄各類辦公及業(yè)務(wù)應(yīng)用（如OA、CRM、VPN、EMAIL等）的企業(yè)不在少數(shù)，而且存在大部分員工會(huì)使用重復(fù)密碼、弱密碼等情況。

而靜態(tài)密碼在不法攻擊下猶如雞蛋在石頭面前，不堪一擊。

當(dāng)然，不法攻擊者的攻擊手段還有很多，有些手段甚至更加“高大上”。不過(guò)，有調(diào)查表明，超過(guò)80%的黑客入侵事件，都是利用了被盜口令或弱口令。目前，身份竊取已經(jīng)成為黑客主要的攻擊點(diǎn)。

那么，用技術(shù)手段進(jìn)行軟件升級(jí)、硬件加固、嚴(yán)防死守就能確保網(wǎng)絡(luò)安全了嗎？

別忘了，使用軟、硬件的，其實(shí)還是企業(yè)員工，而人恰恰是網(wǎng)絡(luò)安全最薄弱的環(huán)節(jié)。目前已發(fā)生的企業(yè)信息泄露時(shí)間中，主要原因是員工疏忽、內(nèi)鬼泄露。

對(duì)企業(yè)來(lái)講，有必要用技術(shù)手段全面提升賬戶安全，把人的因素放到企業(yè)安全管理策略中，在各內(nèi)部系統(tǒng)使用多因素身份認(rèn)證（MFA）。

通過(guò)增加至少1個(gè)除口令之外的驗(yàn)證因子到身份驗(yàn)證過(guò)程，多因素身份認(rèn)證（MFA）解決方案可以更好地保護(hù)用戶憑證并簡(jiǎn)化口令管理。這些額外的驗(yàn)證因子可以是你擁有的東西，比如令牌；或者你具備的東西，比如指紋或人臉；還可以是某些只有你才知道的東西，比如PIN碼。

簡(jiǎn)單地講，在應(yīng)用多因素身份認(rèn)證后，員工登錄內(nèi)部系統(tǒng)時(shí)，需要提供除了賬戶密碼以外的信息。

MFA通常使用以下幾種因素的組合：

當(dāng)然，網(wǎng)絡(luò)安全行業(yè)的一個(gè)共識(shí)是：沒(méi)有一種身份識(shí)別技術(shù)是萬(wàn)能的。單獨(dú)來(lái)看，這三種因素中的任何一種都有各自的安全風(fēng)險(xiǎn)。比如你所知道的東西可以被猜出、分享，你擁有的東西可以丟失、被盜走；你本身的生物特征也能用低成本方式收集、偽造和復(fù)制。

單獨(dú)使用一種方式固然不足以滿足企業(yè)對(duì)信息安全的需求，但當(dāng)它們結(jié)合起來(lái)時(shí)，卻能本質(zhì)提升安全等級(jí)。這就相當(dāng)于開(kāi)門時(shí)需要鑰匙+能夠識(shí)別主人身份的攝像頭或指紋識(shí)別傳感器。

當(dāng)用戶試圖登錄賬戶時(shí)，在完成賬戶密碼的輸入之后，系統(tǒng)會(huì)要求用戶再完成另一種因素的身份驗(yàn)證，比如指紋、人臉識(shí)別，或者OTP動(dòng)態(tài)口令，等等。

在這種情況下，因?yàn)樵L問(wèn)權(quán)不取決于密碼強(qiáng)度，即使黑客竊取用戶的密碼，在登錄過(guò)程中仍然無(wú)法繞過(guò)二次強(qiáng)身份認(rèn)證，也就無(wú)法登錄賬戶。

目前人臉識(shí)別、指紋識(shí)別、OTP動(dòng)態(tài)口令等身份識(shí)別技術(shù)已相對(duì)比較成熟，且在身份認(rèn)證中得到了廣泛的應(yīng)用，企業(yè)可以根據(jù)安全場(chǎng)景的不同，指定相應(yīng)的登錄驗(yàn)證方式，從而建立起一個(gè)多層次的防御系統(tǒng)，使未經(jīng)授權(quán)的人訪問(wèn)企業(yè)的應(yīng)用、系統(tǒng)或網(wǎng)絡(luò)更加困難。