• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      身份驗證:雙重還是多重?

      2019-12-22 15:37:52山東李文竹趙長林
      網(wǎng)絡(luò)安全和信息化 2019年8期
      關(guān)鍵詞:短消息身份驗證安全控制

      ■ 山東 李文竹 趙長林

      編者按: 身份認證是確保用戶登錄安全的重要手段,毫無疑問多重認證比雙重認證更加安全,但現(xiàn)實是雙重認證應(yīng)用更加普遍,這只是因為雙重認證更加便捷嗎?

      根據(jù)安全意識培訓(xùn)公司對IT專家的調(diào)查,僅有少數(shù)大型公司使用多重身份驗證,多數(shù)中小型企業(yè)并沒有采用多重身份驗證。

      多重身份驗證要求使用超過一種認證方法驗證用戶身份,企業(yè)部署這種方法后,可使攻擊更難以達成目標。那么,為什么這種身份驗證方法并沒有被廣泛采用?

      造成這種現(xiàn)象的原因是什么?有些人傾向于選擇阻力最小的路徑。有的人相信多重身份驗證并不是最快最簡單最方便的實施方案。雖然并沒有哪種多重身份驗證方案適用于任何企業(yè),但我們也不應(yīng)當(dāng)將多重身份驗證看作是一個難以部署到現(xiàn)有安全框架中的安全控制。

      無論是從技術(shù)還是從安全控制方面,還是從企業(yè)擁有的技術(shù)技能方面,每個企業(yè)都不同。因而,用以實施多重身份驗證的時間、工作量、成本也有很大不同。一個非常重要的問題是要考慮不同的環(huán)境(例如本地環(huán)境、云環(huán)境、混合云等),判定哪些應(yīng)用需要多重身份驗證,然后找到適應(yīng)現(xiàn)有策略、控制、安全目標的最佳方案。

      雙重認證

      對IT安全團隊來說,另一個重要的問題是要理解多重身份驗證(以下簡稱“多重認證”)與雙因子身份驗證(以下簡稱“雙重認證”)的細微卻可能是重要的差別。

      雙重認證可謂是多重認證的一個子集,它要求用戶提供用戶名和口令的組合來驗證其身份。當(dāng)今,多數(shù)雙重認證方案都通過向用戶手機發(fā)送一個唯一的一次性的代碼而運行,當(dāng)然,用戶的手機號是已被用戶確認并與賬戶匹配的。

      例如,谷歌驗證器(Google Authenticator)和Authy會在用戶手機上生成兩步的驗證代碼,而Duo Mobile可通過推送的通知來驗證用戶身份,有助于防止網(wǎng)絡(luò)釣魚和其他基于身份的攻擊。

      但為什么企業(yè)更多采用雙重認證呢?雙重認證的方便和相對的時間節(jié)省也許算不了什么,但值得冒險嗎?尤其是考慮到當(dāng)今多數(shù)數(shù)據(jù)泄露都涉及到攻擊者破壞用戶登錄憑據(jù),并使用這些憑據(jù)訪問企業(yè)的網(wǎng)絡(luò)和敏感資產(chǎn),這個問題尤為值得關(guān)注。

      談到雙重認證失效的大型案例,就不得不提及Reddit。2018年6月,Reddit發(fā)現(xiàn)攻擊者已通過云和源代碼的托管供應(yīng)商竊取了幾個雇員的賬戶。此時,該公司就在使用基于短消息的雙重認證,即向用戶發(fā)送一個需要輸入到應(yīng)用程序的短信驗證碼。這種形式的雙重認證簡單、便利、對用戶友好,并得到廣泛使用。但其弊端在于極易遭到短消息劫持攻擊,而這正是Reddit數(shù)據(jù)泄露的主要攻擊手段。

      需要考慮的其他因素

      設(shè)備識別產(chǎn)品有助于減輕基本的雙重認證所固有的一些漏洞。這種解決方案通過向認證服務(wù)器注冊一個用戶ID而運行。認證服務(wù)器和客戶端在特定時間后使用用戶的ID生成一個新令牌。在用戶試圖登錄到應(yīng)用程序時,服務(wù)器要進行檢查,查看所生成的數(shù)值是否匹配,如果匹配,就允許用戶訪問。

      雖然再增加額外的認證因素可能不適合那些尋求最快速度和最大便捷性的用戶需要,我們很難反對易于使用性,但是如果與更大的麻煩和潛在的數(shù)據(jù)泄露危害相比較,我們更難以反對多因素認證的組合。

      猜你喜歡
      短消息身份驗證安全控制
      機械設(shè)計自動化設(shè)備安全控制研究
      建筑施工現(xiàn)場的安全控制
      試論電視新聞短消息的采寫策略
      新聞傳播(2018年14期)2018-11-13 01:12:58
      淺談廣播短消息的采寫
      新聞傳播(2018年1期)2018-04-19 02:09:00
      HID Global收購Arjo Systems擴大政府身份驗證業(yè)務(wù)
      更安全的雙重密碼保護
      CHIP新電腦(2015年3期)2015-04-02 17:55:46
      短消息業(yè)務(wù)評估體系的研究與實現(xiàn)
      熱成像技術(shù)在食品質(zhì)量安全控制中的應(yīng)用
      身份驗證中基于主動外觀模型的手形匹配
      ASP.NET中的Forms身份驗證的研究
      罗山县| 清水县| 泰安市| 邮箱| 红安县| 通化县| 新宁县| 乳源| 牡丹江市| 略阳县| 三河市| 岱山县| 丰都县| 和田市| 镇江市| 崇阳县| 六安市| 景东| 敦化市| 益阳市| 合水县| 青河县| 清流县| 芦山县| 汝州市| 沿河| 黄山市| 万宁市| 华容县| 霞浦县| 工布江达县| 临城县| 大同市| 土默特右旗| 富顺县| 汶川县| 广汉市| 澄迈县| 台南县| 樟树市| 西盟|