精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:安全行業(yè)動態(tài) → 正文

兩步驗證真的能保護我們的賬戶嗎?其實很難

責(zé)任編輯:editor007 |來源:企業(yè)網(wǎng)D1Net  2017-07-12 17:12:23 本文摘自:愛范兒

 

如何保護你的賬戶安全?稍微懂一點網(wǎng)絡(luò)安全的人都會建議你,開啟兩步驗證。兩步驗證,簡單點說,就是在你輸入密碼后,要求你通過別的方式來獲取一串驗證碼,來確保登陸者是你。

的確,兩步驗證可以稱得上是個人信息安全中最為重要的一環(huán),但也是被人接受最為緩慢的一環(huán)。雖然各主流網(wǎng)站都提供了這一選項,但用戶往往需要費一番功夫才能找到對應(yīng)的設(shè)置項。因此,正式啟用這一功能的用戶寥寥無幾。

two_step_Verification

  (比如蘋果的雙重認證就被放在了Apple ID選項內(nèi))

但是,隨著兩步驗證逐步被大家接受、采用兩步驗證的站點的增多,傳遞驗證碼的介質(zhì)也變得多樣起來:有些網(wǎng)站使用短信,有些使用電子郵件,還有些是利用像是Google Authenticator之類的軟件,更為極端的用戶則是采用硬件狗(可以把它理解為U盾)來生成驗證碼。而隨著這些驗證手段的增多,就連專注于兩步驗證評測的網(wǎng)站TwoFactorAuth都分不清楚哪種驗證方式是相對安全的。

在接受The Verge采訪時,TwoFactorAuth的負責(zé)人這樣說道:

如果評估數(shù)百種兩步驗證服務(wù)(的安全系數(shù))對我們來說已經(jīng)很困難了的話,我無法想象普通用戶面對它們的時候會有多困惑。

在兩步驗證剛推出的時候,每個人都認為這是一種令人感到放心的驗證方式。但到了2014年,有越來越多的黑客通過各種各樣的方式繞過了這一驗證:有些是通過仿造API token(可以理解為配置了一把萬能鑰匙),有些是通過社會工程學(xué)騙取你的賬戶恢復(fù)信息,甚至還有些是通過電信運營商,將受害者的驗證短信轉(zhuǎn)接到自己的手機上。而這些黑客攻擊往往圍繞著比特幣這一匿名貨幣展開的。就在上個月,某企業(yè)家就因為Verizon客服的失職而損失了價值8000美元的比特幣。

除了比特幣以外,根據(jù)The Intercept本月的報道,俄羅斯在美國大選期間,已經(jīng)有辦法繞過兩步驗證,來達到控制選舉人賬號的目的。而在另一篇報道中,因為Facebook的流程設(shè)計缺陷,黑客可以輕而易舉地關(guān)閉已經(jīng)被打開的兩步驗證。

gru-chart-russia-hacking-election-1496684832

  (美國國家安全局解密的俄羅斯的賬戶竊取計劃,圖源:The Intercept )

深究下去,令兩步驗證不再安全的原因通常不是兩步驗證本身,而是那些恢復(fù)方案。通常情況下,恢復(fù)方案是用于用戶在不能夠接觸到兩步驗證設(shè)備的時候所采取的后備手段,就像是你家大門的備用鑰匙一樣。

而在這些后備手段中,最難以攻破的薄弱點當(dāng)屬移動運營商。如果你可以通過運營商將發(fā)送到指定號碼的信息和電話轉(zhuǎn)發(fā)到你的設(shè)備上,那么你就可以繞過大部分的兩步驗證。甚至,對有些基于手機號碼登錄的應(yīng)用來說,擁有手機號碼就相當(dāng)于擁有了賬號的所有權(quán)。

nac2wbw1ktu

  (現(xiàn)在已經(jīng)有多種方式來竊取發(fā)送到你手機上的驗證碼)

盡管美國國家標(biāo)準技術(shù)研究所 (NIST) 已經(jīng)在呼吁大家停止使用短信驗證,但很多科技公司仍然不為所動。畢竟,短信驗證是最為方便、簡單的兩步驗證方式。而對不太關(guān)心賬戶安全的人來說,他們并不關(guān)注兩步驗證本身是否安全,他們只在乎自己的賬戶是否受到了保護。

現(xiàn)在,整個安全行業(yè)把目光投向了威脅檢測 (Threat Detection) 這一領(lǐng)域。系統(tǒng)通過檢測像是機器特征碼、用戶交互行為這些難以通過外力模仿的信息,來判定該登錄是否需要額外的驗證。這一系統(tǒng)從實質(zhì)上來說,要比兩步驗證更為可靠。

可惜的是,盡管業(yè)界可以通過引入威脅檢測來增加賬戶的安全性,但除了開啟兩步驗證外,用戶永遠無法直觀感知到他的賬戶到底在多少程度上是安全的,也無法通過任何辦法來進一步加強對賬戶的保護。

而如何將威脅檢測具象化,讓用戶得以感知得到,將成為未來賬戶保護技術(shù)發(fā)展的關(guān)鍵。

關(guān)鍵字:賬戶圖源Facebook

本文摘自:愛范兒

x 兩步驗證真的能保護我們的賬戶嗎?其實很難 掃一掃
分享本文到朋友圈
當(dāng)前位置:安全行業(yè)動態(tài) → 正文

兩步驗證真的能保護我們的賬戶嗎?其實很難

責(zé)任編輯:editor007 |來源:企業(yè)網(wǎng)D1Net  2017-07-12 17:12:23 本文摘自:愛范兒

 

如何保護你的賬戶安全?稍微懂一點網(wǎng)絡(luò)安全的人都會建議你,開啟兩步驗證。兩步驗證,簡單點說,就是在你輸入密碼后,要求你通過別的方式來獲取一串驗證碼,來確保登陸者是你。

的確,兩步驗證可以稱得上是個人信息安全中最為重要的一環(huán),但也是被人接受最為緩慢的一環(huán)。雖然各主流網(wǎng)站都提供了這一選項,但用戶往往需要費一番功夫才能找到對應(yīng)的設(shè)置項。因此,正式啟用這一功能的用戶寥寥無幾。

two_step_Verification

  (比如蘋果的雙重認證就被放在了Apple ID選項內(nèi))

但是,隨著兩步驗證逐步被大家接受、采用兩步驗證的站點的增多,傳遞驗證碼的介質(zhì)也變得多樣起來:有些網(wǎng)站使用短信,有些使用電子郵件,還有些是利用像是Google Authenticator之類的軟件,更為極端的用戶則是采用硬件狗(可以把它理解為U盾)來生成驗證碼。而隨著這些驗證手段的增多,就連專注于兩步驗證評測的網(wǎng)站TwoFactorAuth都分不清楚哪種驗證方式是相對安全的。

在接受The Verge采訪時,TwoFactorAuth的負責(zé)人這樣說道:

如果評估數(shù)百種兩步驗證服務(wù)(的安全系數(shù))對我們來說已經(jīng)很困難了的話,我無法想象普通用戶面對它們的時候會有多困惑。

在兩步驗證剛推出的時候,每個人都認為這是一種令人感到放心的驗證方式。但到了2014年,有越來越多的黑客通過各種各樣的方式繞過了這一驗證:有些是通過仿造API token(可以理解為配置了一把萬能鑰匙),有些是通過社會工程學(xué)騙取你的賬戶恢復(fù)信息,甚至還有些是通過電信運營商,將受害者的驗證短信轉(zhuǎn)接到自己的手機上。而這些黑客攻擊往往圍繞著比特幣這一匿名貨幣展開的。就在上個月,某企業(yè)家就因為Verizon客服的失職而損失了價值8000美元的比特幣。

除了比特幣以外,根據(jù)The Intercept本月的報道,俄羅斯在美國大選期間,已經(jīng)有辦法繞過兩步驗證,來達到控制選舉人賬號的目的。而在另一篇報道中,因為Facebook的流程設(shè)計缺陷,黑客可以輕而易舉地關(guān)閉已經(jīng)被打開的兩步驗證。

gru-chart-russia-hacking-election-1496684832

  (美國國家安全局解密的俄羅斯的賬戶竊取計劃,圖源:The Intercept )

深究下去,令兩步驗證不再安全的原因通常不是兩步驗證本身,而是那些恢復(fù)方案。通常情況下,恢復(fù)方案是用于用戶在不能夠接觸到兩步驗證設(shè)備的時候所采取的后備手段,就像是你家大門的備用鑰匙一樣。

而在這些后備手段中,最難以攻破的薄弱點當(dāng)屬移動運營商。如果你可以通過運營商將發(fā)送到指定號碼的信息和電話轉(zhuǎn)發(fā)到你的設(shè)備上,那么你就可以繞過大部分的兩步驗證。甚至,對有些基于手機號碼登錄的應(yīng)用來說,擁有手機號碼就相當(dāng)于擁有了賬號的所有權(quán)。

nac2wbw1ktu

  (現(xiàn)在已經(jīng)有多種方式來竊取發(fā)送到你手機上的驗證碼)

盡管美國國家標(biāo)準技術(shù)研究所 (NIST) 已經(jīng)在呼吁大家停止使用短信驗證,但很多科技公司仍然不為所動。畢竟,短信驗證是最為方便、簡單的兩步驗證方式。而對不太關(guān)心賬戶安全的人來說,他們并不關(guān)注兩步驗證本身是否安全,他們只在乎自己的賬戶是否受到了保護。

現(xiàn)在,整個安全行業(yè)把目光投向了威脅檢測 (Threat Detection) 這一領(lǐng)域。系統(tǒng)通過檢測像是機器特征碼、用戶交互行為這些難以通過外力模仿的信息,來判定該登錄是否需要額外的驗證。這一系統(tǒng)從實質(zhì)上來說,要比兩步驗證更為可靠。

可惜的是,盡管業(yè)界可以通過引入威脅檢測來增加賬戶的安全性,但除了開啟兩步驗證外,用戶永遠無法直觀感知到他的賬戶到底在多少程度上是安全的,也無法通過任何辦法來進一步加強對賬戶的保護。

而如何將威脅檢測具象化,讓用戶得以感知得到,將成為未來賬戶保護技術(shù)發(fā)展的關(guān)鍵。

關(guān)鍵字:賬戶圖源Facebook

本文摘自:愛范兒

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號-6 京公網(wǎng)安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 福鼎市| 沂源县| 寻乌县| 桓仁| 鲁山县| 长顺县| 桓仁| 双桥区| 铅山县| 右玉县| 文山县| 赤壁市| 柯坪县| 云和县| 新源县| 枝江市| 元阳县| 漳平市| 剑川县| 客服| 大渡口区| 来安县| 嘉峪关市| 长沙县| 石台县| 长兴县| 运城市| 海晏县| 理塘县| 金塔县| 中江县| 嘉禾县| 高平市| 吉安市| 大港区| 靖江市| 盐津县| 和顺县| 五华县| 罗城| 大石桥市|