文章发表于2024-03-14 09:27:27,归属【信息安全】分类,已有666人阅读
您是否使用双因素/多因素身份验证(2FA/MFA)?你应该这样做!密码本身已经不足以阻止黑客访问你的账户。MFA通过使用您知道的东西(您的用户名/密码)和您拥有的东西来增加密码的强度。然而,随着我们变得越来越老练,坏人也会变得越来越老练。今天的最佳措施是什么?
对于外行来说,MFA是在用户名和密码之外增加额外安全性的一种方式,可以访问基于web的应用程序、软件甚至硬件。表面上看,它可以阻止任何拥有你的密码和用户名的人进入你的账户或设备。你可以通过进入你的隐私和安全设置,在许多在线账户中开启双因素身份验证。
基本原则是,要访问资源,需要知道用户名、密码以及所拥有的东西。有四种添加MFA的主要方法。一种是由应用程序或密码管理器创建的基于时间的一次性密码(TOTP)代码。另一种是密钥卡或令牌,这是一种插入电脑或通过智能手机的NFC或蓝牙信号连接的物理设备。最常见的是使用文本消息(SMS)来创建TOTP代码。有时可能会有一个选择,使用你的东西,通常是生物识别技术,如指纹或面部识别。
短信是第二个因
很明显,如果黑客可以访问你的手机,他们就有可能拦截短信代码,通常通过说服你用一部新手机并激活它,或者利用2FA系统中的缺陷的其他技术手段来实现。由于SIM卡交换和其他问题(如重新路由短信),使用通过文本发送到手机的数字代码不再是最佳措施。然而,有些服务除了通过SMS接收代码之外,没有为MFA提供其他选择。这是有问题的,不仅因为安全价值降低,而且它使公司不得不依赖员工设备和个人手机号码作为第二个因素。
Jim Calloway提出了一个有趣的建议,如果你订阅的服务只提供短信MFA,那就申请一个谷歌语音号码。由于谷歌账户可以通过MFA得到保护,这可能比移动网络更安全。或者,如果你的公司有一个带有文本选项的VoIP系统,它比普通的短信更安全,这可能值得考虑。对于个人使用,未公布的谷歌语音号码是一个更好的选择,因为你的手机号码经常被用作你的主要家庭号码,因此被广泛使用。
身份验证器
第三方身份验证器,如Google Authenticator、Microsoft Authenticator或Duo Mobile,对于MFA来说是比SMS更好的选择。这些身份验证器是安装在你的智能手机和/或作为浏览器扩展的应用程序,并提供一次使用和定时代码来访问受保护的帐户。第一次启用身份验证时,通常在安装应用程序后显示QR码并拍摄屏幕照片,或者输入设置过程中显示的代码。
许多密码管理器也有身份验证器。许多流行的密码管理器,包括1Password和Dashlane,都有身份验证器。一些密码管理器,如Keeper,已经集成了内置的身份验证器,所以当你登录时,它会填充用户名和密码,以及TOTD代码。
令牌或密钥卡
使用双因素身份验证的更难以破解的方法是使用物理设备(您拥有的东西)而不是通过SMS发送的代码。市场领导者包括Yubico,Feitian MultiPass, NitroKey和OnlyKey。谷歌和Facebook等科技公司现在都在使用Yubico的YubiKey。这些设备需要一个USB卡才能与电脑连接,或者使用手机的NFC信号,这在安卓设备和iOS 11上都可以使用。只需插入或轻敲键盘,即可提供第二个身份验证因素,以防止短信代码可能出现的故障。这些设备的价格从20美元到60美元不等,可供公司部署。
结论
NIST的最佳措施建议避免将短信作为身份验证方法,并且用户应该至少每30天要求一次身份验证刷新。不要永远信任您的设备,而是定期强制进行身份验证刷新。即使你在移动设备上安装了身份验证应用程序,而不是使用短信,你也需要锁定手机屏幕,并对手机进行加密。要保护在线帐户中的敏感信息,请考虑减少密码漏洞暴露的方法,并通过MFA增加另一层安全性。