谷歌锁区号/谷歌邮箱老号-购买商城
谷歌play地区代改
Google Voice号码支持自助购买
谷歌锁区号购买商城]
美区VISA卡代开-可以用于aws,azure,FB,谷歌,亚马逊,速卖通,eBay,独立站,paypal等支付
如果您还有其他问题可以加我电报交流。
电报号:telegram:@tianmeiapp
本文共6567字
推荐阅读时间为10分钟
关于使用密码进行身份验证,您可以说的最好的事情就是有总比没有好。然而,像这样受到广泛关注的违规行为已经暴露了数百万个密码和用户 ID,而这种有点值得称赞的说法受到了广泛质疑。如果用户没有意识到他们的某些密码已被泄露,他们还可能沉迷于一种虚假的安全感,这是非常危险的。
仍然依赖密码身份验证来访问重要客户和公司数据的公司也是如此。仅密码保护已永远消亡,任何依赖它的企业都会将其业务和声誉置于风险之中。即使避免了违规行为,由于该事件,人们越来越认识到密码保护不足。如果这是您保护客户数据的方式,客户会三思而后行是否信任您。
双因素身份验证 (2FA)、多因素身份验证 (MFA)、行为分析和生物识别等替代方案已经出现了一段时间,但采用率一直很低。不断恶化的威胁形势和不断提高的用户意识降低了实施这些替代方案的障碍——主要是由于用户的抵制、复杂性和投资回报。
所有这些选择都可以被打破,有些比其他更容易。 “所有的身份验证方法,无论是指纹、面部、虹膜扫描,所有这些都被分解成比特和字节,它们实际上是共享的秘密,”IBM X-Force Red Group 高级管理顾问指出。 “由于这些共享机密像密码一样以数字方式存储,因此理论上可以窃取它们。不同之处在于它更难做到。
目的是让犯罪分子难以获取这些信息,以至于大多数网络犯罪分子不得不寻找其他更简单的攻击方式。许多组织结合使用身份验证方法来实现基于风险、用户考虑和受保护数据价值的合理安全预期。
用户认识到强身份验证方法的价值
如果用户拒绝或无动于衷,企业和面向用户的网站的最佳身份验证方案可能会失败。毕竟,最近备受瞩目的违规行为已经产生了一些积极的结果——用户开始意识到强身份验证的价值,并且似乎更愿意接受随之而来的一些不便。
独立安全研究人员认为,这一趋势始于 2015 年初的一次泄露事件。“用户担心医疗信息的泄露。”因为,这种担忧还包括财务账户。虽然用户更愿意接受更复杂的身份验证方法来保护医疗和财务数据,但并非所有服务提供商都提供此类选项。 “很多银行,因为他们以前做过类似的工作,认为与账户相关的安全问题是验证的第二个要素,但事实并非如此,”欧文说。 “人们需要一层额外的保护,但不知道该打开什么。”他们必须求助于客户服务或客户代表,甚至是供应链,来请求这些功能。”
由于缺乏需要额外安全层的机制,一些企业认为没有客户需要它。 “有很多工作要做,”欧文说。 “人们知道他们有需求,但他们不知道自己需要什么。当他们知道自己需要什么时,有时他们无法选择启用某些功能。这真是一场艰苦的战斗。”
竞争问题使一些企业无法实施可能难以使用其服务的不同身份验证流程。 “当涉及到用户时,他们非常害怕影响用户体验,”Smart 身份策略高级副总裁 Block 说。 “很大一部分是缺乏了解,其实只要符合正确的环境变量,总会有影响。不是很大。”
Block 说:“用户变得越来越聪明。他们在问,'如果我与你做生意,你能保护我的凭据吗?你提供 2FA?多少控制?'由于违规的影响,假设用户很懒惰并且不希望他们的用户体验被中断是错误的。”
实施更强的身份验证的困难不是技术上的。 “这是关于人、过程和文化的,”布洛克说。 “你能找到合适的人来决定哪些风险是可以接受的吗?我们需要支持多少元素,我们如何将这些元素呈现给最终用户?”
为了让用户接受,Block 强调灵活性。 “无论您可以冒什么风险,您都应该尽可能灵活,让最终用户感觉自己在掌控之中。”
只使用密码验证的危险
如果只使用密码,黑客很容易破解或窃取密码和用户 ID。即使你听从了建议,也要保护好这个
一些密码 - 也会如此。 “有很多安全要求使密码更弱,而不是更强,”欧文说。 “很多人认为,如果他们经常更改密码,那是一种很好的安全行为。事实并非如此。很多生成强密码的规则反而不如以前。它更容易破解密码。”
Irwin 引用的规则被广泛使用,并且基于美国国家标准与技术研究院 (NIST) 等标准组织的一些早期建议。 NIST 最近修订了这些规则,以更好地适应当今威胁形势的现实谷歌账号登录验证身份,但大多数企业尚未采用它们。
说:“密码的问题不在于密码本身。在某些方面实际上很难。问题在于密码是共享的秘密。人们在站点之间重复使用密码,因此您不仅依赖于 on您正在使用的网站的安全性,以及您曾经使用过密码的每个网站的安全性。机密信息始终会被转换。”
使用难以反转的哈希算法转换密码。也就是说,太多的网站使用了几十年前被黑的哈希算法。使用当今的高速计算机,黑客可以相对容易地反转被盗密码的哈希值。 “现在有一些工作框架可用于快速验证这些凭据是否可以在其他受感染的网站上使用,甚至可以在其他一些网站上实时使用。”
为了最大程度地降低密码泄露的风险,密码保险库越来越多地用于在伪随机生成器的帮助下,使用非常长的字符串对密码进行加密和随机化。说:“一些伪随机生成器由于执行不力而遭到黑客攻击,但总比没有好。”
双因素身份验证:向前迈出一小步
要求用户提供除密码之外的一些其他识别信息——这已成为安全验证的最低标准。此信息通常只有用户知道,并用于必须回答的安全问题,例如“你的第一只狗叫什么名字”。它也可以是通过短信发送到手机或令牌设备(或用户拥有的设备)的验证码。这里的“安全”是一个相对的概念。在这次泄露中谷歌账号登录验证身份,一些用户的安全问题的答案也受到了损害。稍加思考,就很容易发现您母亲的娘家姓或某人出生的城市等个人信息。
通过短信发送验证码也好不到哪里去。事实上,新的 NIST 指南警告黑客可以拦截这些验证码。这部分是由于 SS7(7 号信令系统)中固有的漏洞,该协议于 1975 年开发,是电话网络信息交换的基础。利用此漏洞的黑客可以访问所有网络流量。
Irwin 说 SIM 卡劫持也在增加。 “社会工程师会打电话给 AT&T 或客户服务热线,假装是另一个人,试图安装新手机或更改账户,”她说。 “他们现在可以控制设备身份验证,还可以拦截 SMS 密码。Irwin 指出,此类攻击针对的是黑客已知的有价值的用户,例如比特币账户,或对重要数据具有高级访问权限的用户。
使用显示验证码的令牌设备或令牌智能手机应用程序更安全。 “你不必再依赖另一种机制来获取验证码,”欧文说。 “黑客必须获得你拥有的特定令牌才能攻击第二个验证因素。工作量太大。令牌是直通式 2FA。验证码是最强大和最好的方法。”
用户应用程序令牌的问题是人们拒绝使用它们,因为它需要单独的设备和他们自己的应用程序。 “令牌可能需要一些额外的工作,”欧文说。
她认为,如果用户能够更好地了解好处是什么,并且令牌应用程序供应商使其更易于使用,它们将被更广泛地采用。目前,通过验证码的令牌主要用于企业环境。无论是令牌还是智能手机,都需要一台设备才能访问,从而防止网络犯罪造成的损害。
这家网络公司的联合创始人兼首席技术官表示,“当知道密码的唯一方法是手持设备时,即使不是不可能,也很难发起大规模攻击。”
多因素身份验证:如果实施得当,则更强大
MFA 背后的想法是让黑客更难获得他人帐户的访问权限。 MFA 通常需要用户 ID 和密码、您知道的以及您拥有的东西。说:“如果已经应用了多重身份验证并且我有你的密码,那么我会去其他地方 - 管理员很懒惰并且不使用多重身份验证。MFA 不是一个好主意,但它在阻止除专业攻击者之外的大多数攻击方面非常有效。”
MFA 通常是一个分阶段的过程,需要用户在警报发生时提供额外的标识元素。它通常与基于风险的身份验证结合使用。例如,当用户尝试从新设备登录,或想要访问更受保护的区域时。说:“如果我经常登录查看余额,我的银行一般不会要求第二个验证因素。但如果我想向英国汇 1000 万美元,他们会问我第一个孩子是谁它,什么血型等等。”
Block 表示,从今年 1 月 1 日到 10 月 5 日,所涉及的验证尝试中有 88% 是通过第一个验证元素处理的。 “为什么每次都给用户增加第二个身份验证因素?”他说,“我们应该普及MFA的使用。”他认为,最可靠的解决方案应该包括用户所知道的(密码、问题的安全答案)、您拥有的东西(智能手机、令牌设备)、您的位置以及您自己的特征(生物识别、行为分析)等。
使用社交帐户登录:可能
但面临风险的是 、、 和这些大型社交媒体网站通常比其他服务网站更好地保护用户 ID 和密码数据。他们还提供 2FA — 至少作为一个选项,并使用分析来发现可能的非法登录尝试,当他们这样做时,要求提供更多身份验证信息。
通过社交帐户,网站和移动应用程序允许人们使用他们的社交媒体帐户登录,通常作为标准密码身份验证的一个选项。用户看到这更多是为了方便而不是为了提高安全性,但网站和网络服务提供商获得了一些安全验证手段,否则他们可能没有资源来实现他们的目标。
Jim 是首席执行官,其客户身份和访问管理解决方案线包括社交帐户登录功能,社交媒体网站和社交帐户身份服务提供商表示,他们提供人员和技术来开发强大的身份验证功能,为用户身份提供现代保护. “我们站在在安全方面进行巨额投资的巨头的肩膀上,”他说。
使用社交账号登录的最大风险是用户访问过的所有网站,比如谷歌,如果谷歌账号被盗,谷歌网站也会被盗。攻击者可以通过多种方式控制社交账户:社交工程、创建虚假个人资料或在暗网上购买用户 ID 和密码。如果用户启用可选的验证功能(例如 2FA),则可以降低这种风险,但许多用户并未这样做。
Irwin 说:“社交登录很有趣,因为我们为它们构建了强大的 OAuth。它们做了两件事:它们将您的社交媒体帐户连接到服务,并且您不希望自己的社交媒体提供商参与其中,尤其是不要”不希望他们有办法定位广告。”她补充说,社交媒体公司已经掌握了太多的个人数据,甚至可以以意想不到的方式使用这些数据。通过使用社交账户登录,这些公司将获得更多信息,并了解你在网上的所有关系。“这不好。这有点令人不安,”她说。
Irwin 认为社交登录在某些情况下也很有价值。 “对于购物网站,或者用户没有设置用户名和密码的网站,社交登录为用户做了很多工作,”她说。 “这很好,但它也让社交媒体网站的密码和用户名变得非常困难。” ,非常脆弱。”欧文说,对用户有意见的家庭成员、同居伴侣或朋友有时会使用用户的社交媒体账户登录来制造麻烦。 “这可能是灾难性的。”
相信巧妙实施社交帐户登录验证的公司可以降低与此方法相关的风险。例如,企业可以使用社交登录作为“轻量级”身份验证方案的一部分,例如,将 用于下载受控内容等简单服务,然后需要更高级别的安全性(例如 MFA)才能访问更多大量敏感信息,例如访问您的支票账户。
他指出,即使是银行和医疗保健提供商也开始在可行的情况下使用社交登录——这些机构在保护个人数据方面受到严格监管。
他们这样做是为了方便用户并减少所谓的注册和登录疲劳,但他们显然采用其他身份验证方法来增强社交帐户登录。社交账号登录产品通过设置用户行为规则来支持增强的安全性。说:“如果有人从美国登录,几分钟后从中东登录,那么你就知道用一组简单的规则来增强 MFA。”
生物识别技术:没有你想象的那么简单
术语“生物识别”包括一系列身份验证方法 - 扫描人的某些物理属性,包括面部、眼睛的虹膜、心跳、静脉图案或指纹等,以证明身份。这些属性对个人来说是唯一的,但出于身份验证的目的,有利也有弊。生物识别技术的优点之一是用户友好。通过按下拇指或扫描面部,用户可以使用他们的设备或服务,而无需记住密码或安全问题的答案。生物识别技术的缺点是它们绝不是万无一失的。苹果最新的面部识别技术已被 3D 打印的面部破解。不太先进的面部识别技术会被经过验证的人的照片所欺骗。
一个人的生物特征数据存储在数字档案中,可能会被盗。一旦发生这种情况,验证就没用了。说:“我不是密码迷,但你可以更改密码。当你的指纹被盗、你的脸被盗、你的 DNA 被盗时会发生什么?这些都是一成不变的,无法更改。”
窃取生物特征数据被认为比窃取或破解密码更难,小偷试图窃取个人生物特征数据的风险很低。如果窃贼针对多个配置文件,则风险会显着增加。说:“存储在交易所的数百万个指纹将成为攻击目标。一旦受到攻击,就无法恢复。”
建议企业不要只建立一个生物特征数据存储库。 “从过去的经验中吸取教训:不要将所有内容都存储在一个数据库中。它可能会被盗,”他说。
基于风险的身份验证:无密码
密码、MFA、社交登录和生物识别技术都让用户有责任证明自己的身份。基于风险的身份验证功能使企业能够承担身份保证的责任。这不是一个新概念。例如,信用卡发卡机构一直在使用基于风险的分析,通过寻找异常交易模式来检测欺诈行为。
设备指标或行为生物特征是一种基于风险的身份验证形式,旨在消除密码。该软件分析打字模式、与屏幕的交互、设备 IP 地址或地理位置,并将这些数据和行为与特定用户相关联。这种使用情况的基本指标是通过机器学习随着时间的推移建立起来的——尽管 IP 地址和位置等数据是直接从网络中提取的。
Block 说:“作为企业,您可以定义哪些地理位置可以接受,哪些不可以。我们开始记录您作为个人的来源。我们映射您来自哪里,您的设备是浏览器类型,电话号码你可能正在使用,等等。”这样,软件可以确定呼叫是否来自某个地区的已知运营商。个人的设备使用习惯和基于风险的身份验证系统相结合,可以做出相当准确的决定:是否允许在不需要密码的情况下进行访问。
Irwin 说:“您的最终用户认为,'我不必再使用密码了'。这很好,但他们放弃了他们还不知道有价值的超级隐私信息。会你喜欢这个应用程序 提供商是否知道你如何使用你的手机、你如何触摸它、何时触摸它、何时点击“是”或“否”?我不希望代表我收集这些信息。有时这出现在应用程序中,主要用于广告目的。”
基于风险的身份验证并非万无一失。人们的行为通常是可以预测的,但环境可能会导致变化,从而产生可被利用的欺诈性虚假结果。被问到:“如果您患有腕管综合症怎么办?行为生物识别技术代表了另一个要应用的标准。它不应该单独使用。”注意到一个人的数字行为指标也可以被指定为确定的犯罪分子作弊或改变,尽管并不容易。打字或屏幕滑动模式等指标取决于用户操作设备的习惯。 “键盘和屏幕指标存在一些固有问题,其中一些与应用软件密切相关,”布洛克说。这使得难以理解和解释击键行为。使用行为指标,但也依赖基于硬件的指标,例如电话和设备类型。
找到最佳的身份验证策略
没有办法替代或增强系统范围的密码验证。企业应采取基于风险的方法,评估受保护数据的价值、滥用的可能性以及身份盗用的后果。在大多数情况下,这意味着将身份验证与应用程序或环境相匹配,并使用某种类型的 MFA 对其进行备份。
例如,银行可能会要求客户在登录时只提供密码。这样,客户就可以看到有关其帐户的基本信息。如果客户想要进行交易,银行会要求提供更多识别信息,例如验证码。同时,银行使用行为分析软件来查看会话期间的使用模式和设备指标是否与该客户的信息相匹配。如果某些参数与预定参数不匹配,则需要进一步的身份验证,或者访问被拒绝和限制。
Block 说:“我们认为,在每个身份验证点,都应该预先执行一些风险分析检查,以帮助您确定此有效用户身份是否足够受信任以允许或拒绝访问,或者使用另一个验证元素进一步验证它。”他补充说一些。
大多数专家都认为密码不会很快消失,但确实有机会减少人们需要管理的密码数量,尤其是对于企业系统而言。 “我们已经看到企业采用了他们所谓的无密码,我想说减少对密码的依赖,”布洛克说。 “如果他们的员工现在管理 20 个不同的密码,也许将来他们可以管理 5 个。其余的则通过其他一些基本的身份验证措施进行管理。”
作者
编译杨勇
原始网址:a s s w o r d - s e c u r i t y /ready-for-more---try-these---and-.html
计算机的世界
关于 IT 行业和工业 IT 的一切
过去的评论:
谷歌锁区号/谷歌邮箱老号-购买商城
谷歌play地区代改
Google Voice号码支持自助购买
谷歌锁区号购买商城]
美区VISA卡代开-可以用于aws,azure,FB,谷歌,亚马逊,速卖通,eBay,独立站,paypal等支付
如果您还有其他问题可以加我电报交流。
电报号:telegram:@tianmeiapp
原文链接:IBM的X-Force红色安全测试部:使用密码进行身份验证,转载请注明来源!