互聯網新時代,賬戶安全該怎么保障?
編輯導語:隨著互聯網的發展,網絡安全越來越受到人們的重視,互聯網企業唯有重視網絡信息數據安全,才能更好得留住用戶,那么企業該如何搭建防護墻呢?本文作者依托于兩個案列,講解了MFA對因素認證對賬號安全的保障作用,一起來看看吧。
隨著用戶增長逐步放緩,新時代的互聯網業務必須要更加注重服務質量的提升才能留住用戶了。其中首當其沖的就是賬戶安全,如果你也對此比較關心,那我想請你和我一起來學習了解MFA多因素認證。
首先,我將以兩個案例的代入來讓大家更好地理解MFA多因素認證對賬戶安全的重要性。
一、王校長的大眾點評賬號被盜
相信大家都記得前一段時間王思聰與大眾點評的賬號風波吧。我們來簡要回溯一下:
2021.10.10日王校長在微博上發了這么一段話,原話是這樣的【@大眾點評 這就是上萬億市值公司的安全系統嗎?莫名其妙我自己的號就能被被人改綁手機?你們大眾點評除了會恰爛錢做虛假分數還會點啥?】
當王校長想要用自己的手機號碼進行登錄的發現,登錄不上,提示:【由于你在2021年10月9日通過美團將大眾點評賬號“王思聰”綁定的手機號更新為:137****2797,因此你需要使用新手機號重新登錄?!窟@明顯就是手機號被別人換綁了,導致真正的賬號原主人登錄不上。
那么問題來了:如果不是王校長本人換綁的手機號,又是誰替他換綁的呢?
微博上有個同學爆料并錄視頻記錄了整個環節,從而揭開了問題的謎底。簡單說,你只需要知道某個點評/美團賬號的手機號碼以及身份證生日,就可以通過如下幾步操作完成解綁并重新綁定新手機號:
- 登錄頁面點擊底部的「遇到問題」,然后選擇更換手機號。
- 接下來只需要輸入原來的手機號、生日和新手機號,就可以完成重新綁定,非常簡單。
整個過程毫不設防,只需要知曉手機號和生日即可完成,確實如王校長所說:這個安全機制的設計實在太過草率了。
現在美團點評已經認識到這個錯誤并且修正了,這是個好事。但我們不禁想問,連一向以技術實力著稱的頭部互聯網平臺對待用戶的安全都如此草率,那其他平臺是不是也同樣草率呢。以及,顯然這個問題的受害者絕不在少數,而此次如果不是王校長這么個“知名人士”,美團點評又要到什么時候才能修補這個問題漏洞呢?
如果僅僅是個普通的生活服務類APP來說,還勉強罷了。如果是涉及到個人資金和重要隱私信息的APP,以及企業面向自身員工的內部服務 APP,也出現同類問題的話,后果會是怎么樣呢?
我們再來看第二個案例。
二、編程高手黑入APP后臺竊取超62萬條個人信息
新婚燕爾的編程高手小蔡,去4S店買車的時候,看見銷售員在自家電腦上登錄了管理系統,小蔡不留神地記住了銷售員當時輸入的賬號密碼?;丶液笮南朐囈辉嚹懿荒艿卿浧嚬竞笈_呢,就使用記住的賬號密碼順利進入了該汽車系統,心生邪念,利用爬蟲手段獲取了APP內的626182條客戶的個人信息,其中包括了客戶姓名、身份證號碼、聯系電話、信貸信息等等。有驚無險的是,信息還沒有被賣出,就被抓住了。
這究竟該怪誰呢?可能你心里會有這幾個小嘀咕:
【如果不是銷售員泄露了賬號密碼,那是不是數據就不會被盜呢?】
【如果密碼設置的難一些,別人即使看到了,是不是也不容易記住呢?】
【如果汽車公司的登錄系統做的再復雜一些,除了校驗賬號密碼以外,再校驗下其他某個只有銷售員才知道的信息,那數據是不是就不會被盜呢?】
微村智科創始人郭欣表示:作為投資人,原來我們聽到擬投企業說自己積累了大量數據,會覺得這是企業建立的壁壘。
現在,我們再聽到同樣的說法,我們會追問:“數據來源是否合法?”“有沒有數據泄露風險?”“怎么保障數據的安全?”“有沒有買數據安全產品?”
數據不再是多多益善的資產,更附帶上了合規成本以及安全維護成本。
相信這類事件對所有人都是個警醒。那我們是不是該有一些更深刻的反思呢?如何從根本上來提高賬戶的安全性呢?
為什么互聯網的元老【賬號密碼】方式就不安全了呢?
根本原因有兩種:
1. 記憶本性
人們總是偏向于創建自己能記得住的密碼。然而這正是漏洞所在,也是大多數企業想要防止的事情。
企業總是希望自己的用戶能將密碼的難度提高,以防止攻擊者的闖入,然而人的記憶本性是無法記住復雜信息的。據統計,15%的人用寵物的名字來當做密碼。其他常見的密碼規則包括生日等重要日期以及姓氏等。十分之一的人會跨APP重復使用口令,40%的人表示他們使用了格式化的口令,例如Fall2021,最終成為 Winter2021 或 Spring2022。
2. 黑客攻擊
上述簡單的密碼可能更容易記住,但黑客也更容易猜到。一旦賬號密碼被泄露,通常會在網絡黑市上出售,用于大數量級的攻擊。黑客也有很多工具和技術。他們可以使用自動密碼嗅探工具嘗試多種可能性。也可能利用網絡釣魚,讓你將賬號密碼錄入一個假網站。這些策略相對來說并不復雜,已經使用了幾十年,但它們仍然有效,因為仍然是由人類創建的。
美國網絡安全和基礎設施安全局 (CISA)將只有賬號密碼的登錄方式視為“異常危險”。如下所說:
單因素身份驗證意味著用戶名和密碼授予用戶訪問權限,無需其他任何要求。據 CISA 稱,這是一種非常普遍的高風險做法。微軟透露,其云服務每天有大約 3 億次欺詐性登錄嘗試。即使是八位字符的密碼——混合了數字、大小寫字母和特殊字符——也相對容易破解。
許多員工在公司管理系統中,在多個帳戶中重復使用基本相同的密碼。這是個不爭的事實。
員工希望以盡可能少的復雜性來完成他們的工作,因此他們可能傾向于創建變化最小的密碼,以便他們可以記住的密碼。
我們需要找到平衡用戶需求與密碼安全的解決方案!
密碼之所以重要,是因為其保護的是關鍵業務帳戶、網絡訪問或敏感數據,如此重要的信息卻依托于如此脆弱的安全機制,是極其失衡的。
因此企業必須考慮,如何在不過分傷害用戶體驗的同時,加上一些其他的驗證手段,來保證登錄賬號的人就是真實的本人。這些驗證手段,應該只有本人才能得以操作,從而保障在做重大操作的時候確保是本人在進行。這就是MFA。
MFA全稱:多因素認證(Multi Factor Authentication,簡稱 MFA)是一種簡單而有效的安全實踐方法,它能夠在用戶名稱和密碼之外再額外增加一層保護。啟用多因素認證后,用戶進行操作時,除了需要提供用戶名和密碼外(第一次身份驗證),還需要進行第二次乃至多次身份驗證,多因素身份認證結合起來將為你的帳號和資源提供更高的安全保護。
三、MFA有哪些?
MFA 使用兩個或多個因素的任意組合來驗證身份,并保護重要資產免受欺詐訪問。從原理上來來講,MFA主要利用如下三個主要因素來確認身份:
- 用戶擁有的東西 — 實物,例如銀行卡、身份證、U 盤、設備。
- 用戶知道的東西—一個“秘密”,比如密碼或 PIN。
- 用戶是誰—生物特征,如指紋、聲音、虹膜掃描和其他生理特征。
在典型的 MFA 部署中,用戶首先使用用戶名-密碼組合登錄應用程序。如果有效,則提示他們進一步進行MFA認證。采用 MFA 最重要的原因和目標就是賬號安全問題。賬號問題引起的數據泄露越來越常見,安全性變得越來越重要。2019年,29%的數據泄露與憑證被盜有關,1.5%的網絡登錄與憑證入侵有關。
此外,許多人在不同在線賬戶上重復使用相同的密碼。根據 TeleSign 的數據,71%的賬戶使用與其他網站相同的密碼。攻擊者盜取一次數據就能獲得大量被破壞的憑證,并在其他站點上測試所有的用戶名-密碼組合,使用相同的密碼盜取帳戶。這種類型的攻擊稱為憑證填充攻擊。
MFA 是防止賬戶被盜取最好的方法之一,無論憑證填充攻擊或其他攻擊。攻擊者如果想要破壞受 MFA 保護的帳戶,那他們不僅需要盜取憑證,還需要驗證額外附加的因素。 MFA 極大地增加了攻擊者入侵帳戶所需的時間和精力,這樣他們就很難進行大規模的攻擊活動。
當然了,實現MFA的方法多種多樣,安全效果自然也大相徑庭。我們不妨分析一下常見MFA方法,看看哪種驗證因子更為有效。
四、5種MFA多因素驗證方法
1. 一次性短信驗證碼(OTP)
用短信作為第二個身份驗證因子很是常見。用短信向用戶手機發送隨機的四到六位數字,理論上只有持有正確手機的人才能通過驗證,對吧?
很不幸,答案是否定的,已有多種方法被證明可以黑掉OTP。
比如說,2018年6月中旬,黑客就是通過短信攔截而黑掉了新聞娛樂網站Reddit。雖然黑客并未獲得太多個人信息(Reddit的事件響應工作很棒),還是暴露出了短信身份驗證碼并不像人們通常以為的那么安全。利用蜂窩網絡漏洞就能攔截短信。受害者手機上安裝的惡意軟件也能重定向短信到攻擊者的手機。對手機運營商的社會工程攻擊可以使攻擊者復制出與受害者手機號相關聯的新SIM卡,接收到受害者的OTP短信。
實際上,美國標準與技術研究所(NIST)在2016年就不贊成使用短信身份驗證了,認為該方法不再是安全的身份驗證方法。但不幸的是,很多公司企業還在繼續依賴短信OTP,給用戶一種虛假的安全感。
2. 硬件令牌
作為現役MFA方法中的老大哥,硬件身份驗證令牌常以帶OTP顯示屏的密鑰卡的形式存在,硬件本身保護著其內部唯一密鑰。但硬件密鑰卡的缺陷也很明顯。首先,用戶不得不隨身攜帶這個額外的設備;其次,貴,且需要物流遞送;最后,必須不時更換。某些硬件令牌需要USB連接,在需要從手機或平板進行驗證的時候就很棘手了。
3. 手機令牌
手機令牌很大程度上與硬件令牌類似,但是通過手機應用實現的。手機令牌最大的優勢在于用戶只需要帶個智能手機就行了,而智能手機現在基本屬于必備品,很多人忘帶鑰匙都不會忘帶手機。真正的問題是要審查令牌進入手機的方式,也就是“激活過程”。以二維碼提供進入憑證可不是個好主意,任何能復制你二維碼的人都能掌握你令牌的副本。
4. 基于推送的身份驗證令牌
一種脫胎于常見手機令牌和短信驗證碼的驗證令牌,運用安全推送技術進行身份驗證,因易用性提升而受到用戶歡迎。與短信不同,推送消息不含OTP,而是包含只能被用戶手機上特定App打開的加密信息。因此,用戶擁有上下文相關信息可供判斷登錄嘗試是否真實,然后快速同意或拒絕驗證。如果同意,用戶手機上的令牌應生成一個OTP,連同該同意授權一起發回以供驗證使用。但由于不是所有MFA解決方案都這么做,也就增加了推送同意消息被摹寫和偽造的風險。
5. 基于身份證的特殊令牌
這是一種最超前的方式,也是迄今為止最安全的方式了,安全程度比硬件令牌還要高,如果硬件令牌方案可以評價為四星的話,那身份證方案可以算是五星了。最大的優勢就是是用身份證和賬號相互綁定,在登錄賬號的時候需要同時驗證用戶身邊是否持有匹配的身份證,當然是最安全的方式了。然而由于不是每個人都隨時攜帶身份證,所以該方案還需要再擴展出更“親民”的方式才能真正商用。
如上所述,MFA 驗證方法多種多樣,但并不是每一種都能給企業帶來同等的安全,而最安全的方案往往要么成本太高、要么對用戶的要求太高。因此,推出MFA解決方案時要綜合考慮安全程度和操作可行性。所謂鞋合不合適只有腳知道。但是有一點是確定的,那就是必須采用至少一種 MFA方式,否則就是將企業安全曝光在火山口,那是萬萬不可取的!
五、實施MFA會帶來怎樣的改變
再回頭看我們開頭的兩個例子,如果實施了 MFA,還會那么輕易得發生么?
案例一:王校長
小A想要換綁王校長的手機號,輸入王校長手機號的時候,點擊【遇到問題】選擇【手機不能接收驗證碼】,此時,系統不再是輕松校驗王校長的生日,而是會去校驗一個只有王校長才擁有的東西。例如身份證、面容、指紋等生理特征。小A不可能同時擁有只有王校長才有的信息了吧。
案例二:編程高手小蔡
即使小蔡記憶力好,能夠記住密碼,登錄上了系統,此時系統檢測到此時登錄的環境變了,常用設備變了,IP也變了,不妙,需要再次校驗下其他信息。抽取了面容作為二次驗證。這時候小蔡無法再偽造面容了,也無法登錄了。就沒有后來的62萬條數據被盜。
這時候,MFA后臺會產生一條審計,顯示:
時間:2021-12-27 10:03:09
IP:http://…
狀態:登錄失敗
原因:校驗面部無法通過
備注:銷售員小王賬號可能有泄露風險,請及時修改密碼。
當然你會問我是不是每次都這樣復雜,那企業成本會變得更加高。當然不是,這就是MFA的魅力所在?,F在的「自適應MFA」相較于傳統MFA,能夠根據當前安全狀況,選擇應用不同的 MFA 方式,在保障安全的同時也兼顧用戶體驗,「自適應」多因素認證提供了更加靈活和智能的驗證策略。
據統計:每秒多達 579 次口令攻擊–相當于每年 180 億次。
MFA多因素驗證,可以為企業搭起一道很高的防護墻,充分攔截掉各種有意的和無意的攻擊。從此,絕大部分企業就能踏實睡個好覺了!
我想問,你們所在的企業已經用上MFA多因素認證了嗎?評論區討論討論。
參考資料:
- https://mp.weixin.qq.com/s/z-SZDPVUCTSWUWTpRJNoQw
- https://baike.baidu.com/item/%E5%A4%9A%E5%9B%A0%E7%B4%A0%E9%AA%8C%E8%AF%81/22657576?fr=aladdin
本文由 @王小妞P7P7 原創發布于人人都是產品經理。未經許可,禁止轉載
題圖來自Unsplash,基于CC0協議
有啥低成本的MFA方案么
有的,目前有比較有效的是OTP和身份驗證令牌,你也可以添加我微信wangxn6969,我們可以一塊討論喲
這年頭,不但要防扒手,還要防有文化的小偷