今年的RSA安全大會上,微軟工程師公佈一組數據,2020年1月份就有約為120萬賬戶被黑客入侵過,其中,在高度敏感的企業用戶群中,只有11%的企業賬戶開啟了多因素認證(MFA)預防方案,而使用該方案,則可以阻止99%的賬戶被黑客入侵。
無獨有偶,在2019年5月份,谷歌的工程師也披露過相似的數據與結論,用戶只需要在谷歌賬戶中添加輔助認證的電話號碼,就可以阻止100%的自動漫遊攻擊、99%的網絡釣魚攻擊以及66%的口令攻擊。
另外,安全廠商ESET的安全專家也在去年底發表過文章,稱多因素身份認證雖然會有些繁瑣不便,但確實能極大的提高賬戶的安全性。
巨頭們心心念的“多因素認證”到底是個啥?
簡單的說就是在用戶已設置的密碼之外,再設置一個或多個驗證方式,增加黑客攻擊入侵的難度。就比如我們的企業版剛剛推出的“終端動態認證”功能,除了用戶的密碼,還需要在手機上獲取小程序提供的動態密碼,輸入動態密碼後才能正常開機。
為什麼要這麼做,我們先看下黑客常用的攻擊手段:
一個是弱口令暴破,通過某個簡單且通用的密碼,比如“123456”、“qwerty”等,去一個一個試大量的賬戶;另一種則是撞庫,黑客成功攻擊某一個平臺賬戶並獲取密碼後,就會使用該賬戶名和密碼攻擊用戶的其它所有賬戶。
這兩個攻擊手段,本身就沒有什麼技術含量,無非就是不停地重複去試。但這種看起來很“笨”的方式卻很有效果,畢竟網撒多了,總能撈到魚。
火絨在《2019勒索事件回顧:RDP弱口令滲透愈演愈烈》報告中就指出,企業被勒索病毒的攻擊中,61%是因為弱口令滲透,並且包攬了8類高危勒索病毒中的6類。
與黑客攻擊方式一樣,“多因素身份認證”的防禦方式也是“簡單粗暴”,但卻能有效過濾上述攻擊:在不能通過其它二次驗證情況下,即便黑客通過了賬戶密碼驗證,也依舊無法正常登入。
注:火絨的二次驗證密碼為動態密碼,實時變化,幾乎不會被再次暴破或撞庫
當然,用戶可以設置較強的組合密碼,將大小寫字母、數字、符號進行無規則排列,降低弱口令暴破的可能性,或者對於不同平臺設置不同的密碼,避免被撞庫。
但這也極大的增加了用戶使用產品的負擔,經常重複“忘密碼-改密碼”的死循環。而且,並非所有的用戶都能意識到增加密碼強度可以降低被攻擊的風險。真正需要考慮這方面的安全防禦的,是眾多的互聯網廠商和安全廠商。
事實上,“多因素身份驗證”在互聯網終端的應用中已經隨處可見,比如登錄某個軟件時需要短信確認、郵箱確認,再比如銀行常見的網盾。直至現在,很多廠商開始將移動設備與簽訂安全協議的軟件、程序相結合,推出各種提供“多因素認證”的軟硬件工具,售賣給有需求的用戶。
但事與願違,作為一種單一的安全防禦手段,“多因素認證”大多未能依附在有著龐大用戶群的終端反病毒類軟件中,導致其使用率並不高,與其它安全產品的配合度較低。這種情況在國內尤為凸顯,單獨使用、單獨收費的“多因素認證”功能讓不少用戶選擇讓步。
考慮這方面的缺失,今年2月份,火絨專為企業版免費新增了“終端動態認證”功能。通過手機接收小程序發送的動態口令,實現“多因素認證”的目的,即便用戶密碼遭遇暴破,也還有另一道防護口令在等待他。這也是國內首次將“多因素認證”功能應用於終端反病毒軟件中。
閱讀更多 火絨安全實驗室 的文章
