創(chuàng )見(jiàn)干貨:密碼太長(cháng)記不住,密碼太簡(jiǎn)單又容易被黑客攻擊。普通人的生活被黑個(gè)賬號也許無(wú)傷大雅,但涉及到企業(yè)郵箱等商業(yè)秘密,一旦資料泄露那后果不堪設想。為了解決這些問(wèn)題,Duo security 公司,一家專(zhuān)注企業(yè)移動(dòng)安全的公司,開(kāi)發(fā)了雙重驗證系統。幫助用戶(hù)輕松登陸,也一定程度降低黑客攻擊的風(fēng)險。
昨天我(原文作者)妻子的 Gmail 賬戶(hù)被黑客給黑了。我最后幫她把賬戶(hù)找回了,但花了我一個(gè)小時(shí)時(shí)間而且差點(diǎn)就沒(méi)法恢復賬號。如果這種事發(fā)生在你們公司的企業(yè)郵箱上,那后果就不單單是花費某人的一個(gè)小時(shí)時(shí)間這么簡(jiǎn)單了。
在我幫我妻子恢復賬號后我做了一件事(當然也是你們應該做的):我給企業(yè)郵箱賬號設置了雙重驗證。
雙重驗證不像只需輸入用戶(hù)名和密碼來(lái)登陸那么簡(jiǎn)單,通常是需要通過(guò)短信或你的手機上的應用來(lái)發(fā)送驗證碼給你,但也可以通過(guò)生物數據來(lái)驗證——比如可以用 iPhone 上的指紋感應在 Apple Pay 上付款。
我只花了 1 分鐘就給我妻子的 Gmail 賬戶(hù)設置好了雙重驗證登陸,這至少比做生意要簡(jiǎn)單多了吧?為了設置這個(gè)雙重驗證,我求教了企業(yè)移動(dòng)安全公司(Duo security)安全調研部的主管 Steve Manzuik(以下用 SM 代替)。
我:正如我妻子的例子所示,安全環(huán)節通常是公司在遇到問(wèn)題后才會(huì )考慮的事情。最近幾樁大型黑客事件(最后通過(guò)設置雙重驗證才防止損失加重)涉及的行業(yè)大亨包括蘋(píng)果公司(名人照片由 iCloud 外泄)、Bitly(短鏈服務(wù)提供商,縮短你的網(wǎng)址鏈接使之更易被分享,譯注)、印象筆記、甚至是投資銀行摩根大通。這些公司在被黑后估計都為沒(méi)有事先設置雙重驗證登陸而后悔不迭。現在問(wèn)題來(lái)了,我們到底該如何勸說(shuō)那些企業(yè)未雨綢繆為安全問(wèn)題做些準備?
SM:這些公司應該重視安全問(wèn)題的原因有若干個(gè),其中有些原因很顯而易見(jiàn),而有些卻往往被人們所忽視。
首先,在出現黑客問(wèn)題后,你們公司的董事第一個(gè)想要責備的人不是 CIO 也不是 CISO(首席信息安全部部長(cháng)),而是 CEO。
資料泄露已經(jīng)不僅僅是技術(shù)問(wèn)題了。他們關(guān)系到商業(yè)的核心問(wèn)題。根據最近紐約證券交易所和安全公司 Veracode 聯(lián)合開(kāi)展的一份關(guān)于 200 家公司主管的調查表明,超過(guò) 40% 的調查者認為 CEO 應該承擔資料泄露所造成的一切不良后果。
其次,安全服務(wù)行業(yè)的復雜晦澀和價(jià)格昂貴已經(jīng)在業(yè)內是眾所周知的。像摩根大通這樣的行業(yè)大亨每年投資 2.5 億美元——下個(gè)五年里估計要翻倍到 5 億美元——為的就是防止以后不被黑客攻擊,哪怕這些昂貴的服務(wù)和產(chǎn)品其后的技術(shù)涉及的只是非常簡(jiǎn)單的數據。那我們這些行業(yè)新手該怎么做呢?
第三,根據報告,大多數數據泄露的發(fā)生并不是因為網(wǎng)絡(luò )罪犯非常老練,能用復雜的方式入侵企業(yè)電腦,而是因為人們登陸憑證遺失或被偷。是的,不會(huì )有假,你們公司現在肯定有人就把 123456 設為密碼。
我:好吧,那跟我們說(shuō)說(shuō)雙重驗證登陸到底是怎么回事。
SM:雙重驗證登陸要求用戶(hù)在輸入完用戶(hù)名和密碼后,進(jìn)行二次驗證,以次避免黑客使用盜來(lái)的登陸憑證進(jìn)行非法登陸。因為密碼是只有用戶(hù)知道的,我們還需要確保用戶(hù)得提供其他信息才能登陸,進(jìn)而使黑客無(wú)計可施。
在過(guò)去,第二次驗證通常是靠輸入數字構成的驗證碼、智能卡或發(fā)送驗證短信到你的手機上來(lái)完成的。如今的雙重驗證得益于智能手機的推送技術(shù),讓用戶(hù)能夠只需動(dòng)動(dòng)手指,在屏幕上簡(jiǎn)單滑一下就招來(lái)一輛 Uber 的車(chē)。
雙重驗證通過(guò)讓你再輸入一串密碼來(lái)防止黑客通過(guò)偽造身份發(fā)送郵件(比如編造一封來(lái)發(fā)自你的銀行的郵件)來(lái)截取你的密碼從而入侵你的系統。使用雙重驗證會(huì )讓通過(guò)例如病毒軟件竊取你的登陸憑證的網(wǎng)絡(luò )罪犯進(jìn)行的黑客攻擊概率降低。
用了雙重驗證,無(wú)論黑客用什么手法,你都能實(shí)時(shí)監測,然后及時(shí)采取措施以防黑客進(jìn)一步行動(dòng)造成更大損失。
我:我懂你的意思了。但雙重驗證對企業(yè)來(lái)說(shuō)有什么最基本的獨特賣(mài)點(diǎn)?
SM:我跟你說(shuō)三點(diǎn)。
首先,雙重驗證對用戶(hù)的技術(shù)水平要求很低。
太多太多的安全保障步驟要求用戶(hù)在工作中做一些不自然的舉動(dòng)。這些步驟對用戶(hù)強加了太多不切實(shí)際的期待,對他們要求太多。安全保障工作應該設計成簡(jiǎn)單順手到讓用戶(hù)無(wú)需察覺(jué)就能完成的。
復雜的安保手段會(huì )讓人們不樂(lè )于參與,或者更糟糕的是,人們會(huì )找認為跟其相關(guān)的工具來(lái)保護密碼。這無(wú)疑會(huì )使整個(gè)環(huán)境的安全度下降。
復雜繁瑣是安全的大敵。
一個(gè)合適的雙重驗證設計方案能與將與用戶(hù)的互動(dòng)降到最低,并且能在不干擾用戶(hù)日程的前提下無(wú)縫嵌入日常生活。
第二點(diǎn),雙重驗證不需要任何 IT 管理方面的培訓。你不用復雜的 IT 程序來(lái)使之生效。
大多數安全問(wèn)題解決途徑都與安裝和配置系統相關(guān),為的是能監控管理安保步驟,所以就不用考慮把預算花在昂貴的外聘專(zhuān)家上,讓他們給你提供實(shí)時(shí)維護、監控和客制化服務(wù)了。
總而言之,為了運行一個(gè)完整的安全保障系統,一些組織不得不雇傭額外的內部安全團隊,斥巨資在用戶(hù)培訓上。這些做法的效率都很低下,而且這些信息技術(shù)不消一年可能就過(guò)時(shí)了。
如今的雙重驗證系統不需要對用戶(hù)專(zhuān)業(yè)化培訓,也不需要昂貴的咨詢(xún)費。而且,雙重驗證不僅僅是曇花一現的安全科技狂熱,它是歷經(jīng)數十年的安全保障的最佳方案,是具有前瞻性的。
最后一點(diǎn),雙重驗證能簡(jiǎn)化密碼設置的政策。
人們一度試圖設置復雜難猜的密碼來(lái)防止被盜,安全保障行業(yè)還特別地為高保密強度的密碼擬定了一個(gè)標準的規范。
歷時(shí)數年,這個(gè)高強度密碼規范鼓勵人們用起了前所未有復雜的密碼。如今的用戶(hù),普遍上不僅為想出一個(gè)所謂的「高保密強度密碼」感到頭疼,他們也沒(méi)指望自己能記住這些密碼。
用戶(hù)們都是如何反應的?正如你一樣,大多數人把他們「高保密強度密碼」寫(xiě)下來(lái),然后隨手扔在旁邊,或者他們?yōu)閳D方便就在各個(gè)網(wǎng)站都同一個(gè)密碼。這種只需記住一種密碼的做法,使他們更容易被網(wǎng)絡(luò )罪犯給一舉攻破防線(xiàn)。
這些情況反復發(fā)生,但實(shí)際上大可不必這樣。
為什么公司們會(huì )在被黑客攻擊后轉向使用雙重驗證系統?很簡(jiǎn)單,因為費用低,他們可以承擔。而且還能夠阻止大量的黑客入侵你的電腦獲取寶貴數據。
但是人們最好還是在資料泄露之前就做好準備,看看雙重驗證系統是否適合你的公司。在經(jīng)歷了公司與黑客斗爭的20年歷史后,我認為這是保護你的公司信息安全的最好方式了。
