聊一聊让微软谷歌等巨头心心念念的“多因素认证”

2024-04-22 17:21:20 浏览数 (3)

今年的RSA安全大会上,微软工程师公布一组数据,2020年1月份就有约为120万账户被黑客入侵过,其中,在高度敏感的企业用户群中,只有11%的企业账户开启了多因素认证(MFA)预防方案,而使用该方案,则可以阻止99%的账户被黑客入侵。

无独有偶,在2019年5月份,谷歌的工程师也披露过相似的数据与结论,用户只需要在谷歌账户中添加辅助认证的电话号码,就可以阻止100%的自动漫游攻击、99%的网络钓鱼攻击以及66%的口令攻击。

另外,安全厂商ESET的安全专家也在去年底发表过文章,称多因素身份认证虽然会有些繁琐不便,但确实能极大的提高账户的安全性。

巨头们心心念的“多因素认证”到底是个啥?

简单的说就是在用户已设置的密码之外,再设置一个或多个验证方式,增加黑客攻击入侵的难度。就比如我们的企业版刚刚推出的“终端动态认证”功能,除了用户的密码,还需要在手机上获取小程序提供的动态密码,输入动态密码后才能正常开机。

为什么要这么做,我们先看下黑客常用的攻击手段:

一个是弱口令暴破,通过某个简单且通用的密码,比如“123456”、“qwerty”等,去一个一个试大量的账户;另一种则是撞库,黑客成功攻击某一个平台账户并获取密码后,就会使用该账户名和密码攻击用户的其它所有账户。

这两个攻击手段,本身就没有什么技术含量,无非就是不停地重复去试。但这种看起来很“笨”的方式却很有效果,毕竟网撒多了,总能捞到鱼。

火绒在《2019勒索事件回顾:RDP弱口令渗透愈演愈烈》报告中就指出,企业被勒索病毒的攻击中,61%是因为弱口令渗透,并且包揽了8类高危勒索病毒中的6类。

与黑客攻击方式一样,“多因素身份认证”的防御方式也是“简单粗暴”,但却能有效过滤上述攻击:在不能通过其它二次验证情况下,即便黑客通过了账户密码验证,也依旧无法正常登入。

注:火绒的二次验证密码为动态密码,实时变化,几乎不会被再次暴破或撞库

当然,用户可以设置较强的组合密码,将大小写字母、数字、符号进行无规则排列,降低弱口令暴破的可能性,或者对于不同平台设置不同的密码,避免被撞库。

但这也极大的增加了用户使用产品的负担,经常重复“忘密码-改密码”的死循环。而且,并非所有的用户都能意识到增加密码强度可以降低被攻击的风险。真正需要考虑这方面的安全防御的,是众多的互联网厂商和安全厂商。

事实上,“多因素身份验证”在互联网终端的应用中已经随处可见,比如登录某个软件时需要短信确认、邮箱确认,再比如银行常见的网盾。直至现在,很多厂商开始将移动设备与签订安全协议的软件、程序相结合,推出各种提供“多因素认证”的软硬件工具,售卖给有需求的用户。

但事与愿违,作为一种单一的安全防御手段,“多因素认证”大多未能依附在有着庞大用户群的终端反病毒类软件中,导致其使用率并不高,与其它安全产品的配合度较低。这种情况在国内尤为凸显,单独使用、单独收费的“多因素认证”功能让不少用户选择让步。

考虑这方面的缺失,今年2月份,火绒专为企业版免费新增了“终端动态认证”功能。通过手机接收小程序发送的动态口令,实现“多因素认证”的目的,即便用户密码遭遇暴破,也还有另一道防护口令在等待他。这也是国内首次将“多因素认证”功能应用于终端反病毒软件中。

1 人点赞