身份安全 | 靜態(tài)密碼在不法攻擊下猶如雞蛋碰石頭，不堪一擊！

以我們?nèi)粘Ｉ钪械膱鼍芭e個例子，當(dāng)你回到家門口，拿出鑰匙即可將鎖打開。然而門鎖唯一關(guān)心的就是鑰匙是否適合，并不在乎鑰匙在誰的手上。換句話，也就是說，甚至是一個小偷，只要拿著鑰匙，都能悄無聲息地將門打開。

那么我們換個思路，如果開門不僅需要使用鑰匙，還需要使用指紋傳感器識別指紋，或者使用攝像頭設(shè)別人臉？那么即鑰匙被其他人拿到，但是無法識別指紋或人臉，最終仍然還是無法開門。

同理，在企業(yè)中，因為員工使用的靜態(tài)密碼安全等級太低，很容易被內(nèi)部惡意人員或黑客猜到、破解，從而引發(fā)信息泄漏事件。目前，使用用戶名+密碼的方式登錄各類辦公及業(yè)務(wù)應(yīng)用（如OA、CRM、VPN、EMAIL等）的企業(yè)不在少數(shù)，而且存在大部分員工會使用重復(fù)密碼、弱密碼等情況。

而靜態(tài)密碼在不法攻擊下猶如雞蛋在石頭面前，不堪一擊。

當(dāng)然，不法攻擊者的攻擊手段還有很多，有些手段甚至更加“高大上”。不過，有調(diào)查表明，超過80%的黑客入侵事件，都是利用了被盜口令或弱口令。目前，身份竊取已經(jīng)成為黑客主要的攻擊點。

那么，用技術(shù)手段進行軟件升級、硬件加固、嚴(yán)防死守就能確保網(wǎng)絡(luò)安全了嗎？

別忘了，使用軟、硬件的，其實還是企業(yè)員工，而人恰恰是網(wǎng)絡(luò)安全最薄弱的環(huán)節(jié)。目前已發(fā)生的企業(yè)信息泄露時間中，主要原因是員工疏忽、內(nèi)鬼泄露。

對企業(yè)來講，有必要用技術(shù)手段全面提升賬戶安全，把人的因素放到企業(yè)安全管理策略中，在各內(nèi)部系統(tǒng)使用多因素身份認證（MFA）。

通過增加至少1個除口令之外的驗證因子到身份驗證過程，多因素身份認證（MFA）解決方案可以更好地保護用戶憑證并簡化口令管理。這些額外的驗證因子可以是你擁有的東西，比如令牌；或者你具備的東西，比如指紋或人臉；還可以是某些只有你才知道的東西，比如PIN碼。

簡單地講，在應(yīng)用多因素身份認證后，員工登錄內(nèi)部系統(tǒng)時，需要提供除了賬戶密碼以外的信息。

MFA通常使用以下幾種因素的組合：

當(dāng)然，網(wǎng)絡(luò)安全行業(yè)的一個共識是：沒有一種身份識別技術(shù)是萬能的。單獨來看，這三種因素中的任何一種都有各自的安全風(fēng)險。比如你所知道的東西可以被猜出、分享，你擁有的東西可以丟失、被盜走；你本身的生物特征也能用低成本方式收集、偽造和復(fù)制。

單獨使用一種方式固然不足以滿足企業(yè)對信息安全的需求，但當(dāng)它們結(jié)合起來時，卻能本質(zhì)提升安全等級。這就相當(dāng)于開門時需要鑰匙+能夠識別主人身份的攝像頭或指紋識別傳感器。

當(dāng)用戶試圖登錄賬戶時，在完成賬戶密碼的輸入之后，系統(tǒng)會要求用戶再完成另一種因素的身份驗證，比如指紋、人臉識別，或者OTP動態(tài)口令，等等。

在這種情況下，因為訪問權(quán)不取決于密碼強度，即使黑客竊取用戶的密碼，在登錄過程中仍然無法繞過二次強身份認證，也就無法登錄賬戶。

目前人臉識別、指紋識別、OTP動態(tài)口令等身份識別技術(shù)已相對比較成熟，且在身份認證中得到了廣泛的應(yīng)用，企業(yè)可以根據(jù)安全場景的不同，指定相應(yīng)的登錄驗證方式，從而建立起一個多層次的防御系統(tǒng)，使未經(jīng)授權(quán)的人訪問企業(yè)的應(yīng)用、系統(tǒng)或網(wǎng)絡(luò)更加困難。