什么是双重认证?哪些情况下应该使用双重认证?

我们在播客中曾经录制过相关内容,在其中我们用了大量视频(我会在下面嵌入这些视频)详细讨论了双重认证。之前我们也在无数文章中间接提到过双重认证。但是抽时间专门写一篇文章来讨论双重认证的定义、工作原理和适用场景,这还是头一次。 什么是双重认证? 双重认证是许多在线服务提供商所提供的一种功能,它要求用户提供两种形式的认证,为用户的帐户登录过程额外上一道保险。第一种形式通常是密码。第二种形式可以是任意认证。可能最流行的第二重认证是短信或电子邮件验证码。双重认证背后的理论是:要进行登录,用户必须知道某项内容并掌握它。因此,为了访问公司的虚拟专用网,用户可能需要密码和U盘。 双重认证虽然不能保证帐户万无一失,但无论谁想入侵受双重认证保护的帐户,它都会是一个难以逾越的障碍。 双重认证虽然不能确保帐户万无一失,但无论谁想入侵受双重认证保护的帐户,它都会是一个难以逾越的障碍。我认为密码有众所周知的严重缺陷:简单的密码易记但也易破;而复杂的密码虽然难破,但也很难记住。为此,对创建密码不在行的用户会一再使用相同的密码。至少使用双重认证后,攻击者除了得破解密码外,还得有权访问第二重认证,而要取得第二重认证,就得窃取手机,或者入侵电子邮件帐户。 什么是双重认证,哪些情况下应该启用双重认证?#安全性#密码 人们总是频繁更换密码,但实际上没有什么用。根据目前的情况,良好的双重认证系统是用户所能获得的最佳保护。双重认证系统的另一个优点是用户能获知是否有人在盗用自己的密码。我之前可能说过无数次,如果手机或电子邮件帐户中收到双重验证码,但你并未尝试登录与其关联的帐户,则说明有人在盗用你的密码,正尝试入侵你的帐户。无论什么时候,一旦发现这种情况,请立即更改密码。 哪些帐户应该启用双重认证? 对于在什么时候,在哪些情况下应该启用双重认证,请遵循一个简单的规则:如果相关服务提供了双重认证,并且您认为帐户非常重要,则应该启用双重认证。那么Pinterest(世界上最大的一家图片社交分享网站)呢?我不知道,也许会启用吧。如果我有Pinterest帐户,我不太会愿意每次登录都麻烦地进行双重认证。但是,网银、主次电子邮件(尤其是如果具有专用帐户恢复电子邮件地址)、重要的社交网络(或许是Facebook和Twitter),当然还有AppleID或iCloud,或者任何用于控制安卓设备的帐户(如果有),所有这些都应该通过第二重认证进行保护。 点击此处观看视频。 显然,你还需要考虑是否要为任何工作相关帐户提供第二重认证。如果您是网站管理者,则会希望考虑锁定注册服务帐户,不管此帐户是WordPress、GoDaddy、NameCheap还是其他什么帐户。我们还建议为信用卡或借记卡关联的所有帐户启用双重认证:PayPal、eBay、eTrade等等。同样,启用双重认证的决定应该基于以下考虑:提供相应功能的任何帐户被盗会带来多大的破坏性。 有其他形式的双重认证吗? 目前为止,我们讨论的双重认证是向手机或电子邮件帐户发送验证码,或者通常将U盘与密码一起用于VPN访问。此外,还有钥匙串验证码生成器,例如RSA的SecureID,它一般用于企业环境。目前,这些是主流形式的双重认证。当然,还有其他形式的双重认证。 交易验证码(TAN)是略有些过时的第二重认证形式,在欧洲很流行,我本人实际从未使用过,但如果我的理解没错,此类验证的过程如下:银行会向您提供一张交易验证码表(印在纸上),每次进行网上交易时,都应输入其中一个验证码以进行验证。ATM机是另一种老式双重认证形式。必须同时拥有借记卡和知道PIN密码,方能取现。 最近的报告中有大量内容在讨论利用生物特征识别技术的双重认证。有些系统要求提供密码和指纹、虹膜扫描、心跳或其他一些生物手段。可穿戴设备的发展势头也逐渐增大。一些系统要求佩戴内嵌某种无线射频芯片的特殊手链或其他配饰。我还读到过可用于第二重认证的电磁纹身的相关研究报告。 Google和Facebook都推出了手机应用专用密码生成器,支持用户生成一次性密码,取代短信或电子邮件验证码。 点击此处观看视频。

我们在播客中曾经录制过相关内容,在其中我们用了大量视频(我会在下面嵌入这些视频)详细讨论了双重认证。之前我们也在无数文章中间接提到过双重认证。但是抽时间专门写一篇文章来讨论双重认证的定义、工作原理和适用场景,这还是头一次。

什么是双重认证?

双重认证是许多在线服务提供商所提供的一种功能,它要求用户提供两种形式的认证,为用户的帐户登录过程额外上一道保险。第一种形式通常是密码。第二种形式可以是任意认证。可能最流行的第二重认证是短信或电子邮件验证码。双重认证背后的理论是:要进行登录,用户必须知道某项内容并掌握它。因此,为了访问公司的虚拟专用网,用户可能需要密码和U盘。

双重认证虽然不能保证帐户万无一失,但无论谁想入侵受双重认证保护的帐户,它都会是一个难以逾越的障碍。

双重认证虽然不能确保帐户万无一失,但无论谁想入侵受双重认证保护的帐户,它都会是一个难以逾越的障碍。我认为密码有众所周知的严重缺陷:简单的密码易记但也易破;而复杂的密码虽然难破,但也很难记住。为此,对创建密码不在行的用户会一再使用相同的密码。至少使用双重认证后,攻击者除了得破解密码外,还得有权访问第二重认证,而要取得第二重认证,就得窃取手机,或者入侵电子邮件帐户。

什么是双重认证,哪些情况下应该启用双重认证?#安全性#密码

人们总是频繁更换密码,但实际上没有什么用。根据目前的情况,良好的双重认证系统是用户所能获得的最佳保护。双重认证系统的另一个优点是用户能获知是否有人在盗用自己的密码。我之前可能说过无数次,如果手机或电子邮件帐户中收到双重验证码,但你并未尝试登录与其关联的帐户,则说明有人在盗用你的密码,正尝试入侵你的帐户。无论什么时候,一旦发现这种情况,请立即更改密码。

哪些帐户应该启用双重认证?

对于在什么时候,在哪些情况下应该启用双重认证,请遵循一个简单的规则:如果相关服务提供了双重认证,并且您认为帐户非常重要,则应该启用双重认证。那么Pinterest(世界上最大的一家图片社交分享网站)呢?我不知道,也许会启用吧。如果我有Pinterest帐户,我不太会愿意每次登录都麻烦地进行双重认证。但是,网银、主次电子邮件(尤其是如果具有专用帐户恢复电子邮件地址)、重要的社交网络(或许是Facebook和Twitter),当然还有AppleID或iCloud,或者任何用于控制安卓设备的帐户(如果有),所有这些都应该通过第二重认证进行保护。

点击此处观看视频。

显然,你还需要考虑是否要为任何工作相关帐户提供第二重认证。如果您是网站管理者,则会希望考虑锁定注册服务帐户,不管此帐户是WordPress、GoDaddy、NameCheap还是其他什么帐户。我们还建议为信用卡或借记卡关联的所有帐户启用双重认证:PayPal、eBay、eTrade等等。同样,启用双重认证的决定应该基于以下考虑:提供相应功能的任何帐户被盗会带来多大的破坏性。

有其他形式的双重认证吗?

目前为止,我们讨论的双重认证是向手机或电子邮件帐户发送验证码,或者通常将U盘与密码一起用于VPN访问。此外,还有钥匙串验证码生成器,例如RSA的SecureID,它一般用于企业环境。目前,这些是主流形式的双重认证。当然,还有其他形式的双重认证。

交易验证码(TAN)是略有些过时的第二重认证形式,在欧洲很流行,我本人实际从未使用过,但如果我的理解没错,此类验证的过程如下:银行会向您提供一张交易验证码表(印在纸上),每次进行网上交易时,都应输入其中一个验证码以进行验证。ATM机是另一种老式双重认证形式。必须同时拥有借记卡和知道PIN密码,方能取现。

最近的报告中有大量内容在讨论利用生物特征识别技术的双重认证。有些系统要求提供密码和指纹、虹膜扫描、心跳或其他一些生物手段。可穿戴设备的发展势头也逐渐增大。一些系统要求佩戴内嵌某种无线射频芯片的特殊手链或其他配饰。我还读到过可用于第二重认证的电磁纹身的相关研究报告。

Google和Facebook都推出了手机应用专用密码生成器,支持用户生成一次性密码,取代短信或电子邮件验证码。

点击此处观看视频。

一周要闻:OpenSSL再曝漏洞

本周值得关注的新闻有:僵尸网络被联合行动捣毁;已遭破坏的OpenSSL加密库再曝漏洞;Google海量数据存储加密方面的新闻让人颇受鼓舞,但仍问题重重;昨天是爱德华•斯诺登事件曝光一周年。 一周#安全和#隐私要闻,作者@TheBrianDonohue。 Gameover僵尸网络 美国和欧洲执法机构联手捣毁了Gameover僵尸网络。僵尸网络是一种被恶意软件感染的计算机所构成的网络,计算机被感染后即成为帮凶,加入传播大军,在用户毫不知情的情况被利用于违法目的。Gameover用于散布Zeus宙斯木马,一旦植入此病毒后,即可实施网络欺诈计划,其中涉及窃取被感染用户计算机的财务凭证,将用户账户中的资金转入黑客所控制的账户。此外,Gameover最近还被用于散布臭名昭著的Cryptolocker勒索软件。 捣毁僵尸网络要求执法机构(有时会与私人公司联手行动)夺取对分发恶意软件的服务器的控制权,此服务器被称为命令控制服务器(C&C)。接管僵尸网络的行为就其本质来说,有时也被称为”sinkholing”技术。许多散布很广的僵尸网络都是通过这种方式捣毁的。针对这种情况,犯罪分子逐渐迁移到更有弹性的对等僵尸网络基础架构。此举实质上意味着命令控制服务器会在僵尸网络本身未知数量的机器上共享。 简言之,捣毁对等僵尸网络需要执法机构监视并了解其通信基础架构。一旦掌握了僵尸网络的通信方式,即可以着手复制其结构并控制僵尸网络。夺取了僵尸网络的控制权后,即能使僵尸网络停止运行。 要了解Gameover被捣毁所造成影响的精彩解读,请阅读卡巴斯基实验室全球研究与分析团队成员David Emm的讲解。 OpenSSL 新发现的OpenSSL漏洞非常严重,但严重程度和波及的系统范围略逊于Heartbleed。 Heartleed漏洞带来的伤痛还记忆犹新,昨天新闻中又曝出OpenSSL存在另一个严重漏洞。OpenSSL是互联网上大量用户使用的加密实施服务,这次新发现的OpenSSL漏洞非常严重,但严重程度和波及的系统范围略逊于Heartbleed。加密是指一种数学算法,用于保护用户在网上和计算机上所执行的操作、交谈和存储内容的安全。如果您觉得这种解释过于简单,请阅读哈希算法说明,更好地了解其工作原理。不管怎样,新漏洞是可通过远程方式加以利用,这意味着黑客在舒适的家里(或者连到互联网的任何位置)就能够利用此漏洞向不知情的用户发起攻击。黑客成功利用此漏洞入侵后,可拦截被入侵客户端与服务器之间的流量并进行解密。 利用此漏洞执行的攻击并不都这么简单(事实上,黑客很可能并不是在自己舒适的家里发起攻击的,但我想说明的是”可通过远程方式攻击”这个术语)。攻击者需要相对其目标处于”中间人”位置。顾名思义,中间人攻击是指:攻击者自身或利用工具插入用户和重要资源(例如,银行网站或电子邮件账户)之间。最简单的做法是监视流出不安全Wi-Fi网络的流量,这类Wi-Fi网络有许多是我们所有人几乎每天都会用到的。另外还有数十种其他方法可用来执行中间人攻击,您可以通过上面的链接了解相关信息。 发现此漏洞代码段的研究人员表示,此漏洞似乎从1998年开始就一直存在,几乎从未更改过。 端到端 昨天,Google发布了Gmail流量中在传输中被加密(例如,离开Google系统后)的流量所占比例。部分数据相当不错。搜索巨头Google发现,从Gmail发出的电子邮件中,大约69%经过加密,而Gmail收到的邮件中经过加密的占48%。这一比例相对于前几年已经有了大幅上升。 Google会对其服务器上的所有数据进行加密,所以上述研究结果反映的是其他服务对Gmail通信离开Google控制范围后的加密情况。在这里我有意轻描谈写,因为我们计划专门写一系列文章,具体探讨全球哪些服务在改进加密传输中的数据,哪些服务对此无动于衷。请继续关注我们接下来几周的博客。 Google还宣布开发出了一种工具,将用于加密所有流出Chrome浏览器的数据,这应该能帮助解决上面谈到的部分问题。我们对此工具的工作方式充满好奇。同样,请继续关注我们的博客,未来我们将就此发布相关文章。 “重置网络”行动 我们曾在每月安全新闻播客中提到过,6月5日是重置网络行动日。此项行动设定为斯诺登首次曝光美国国安局大规模监控项目周年纪念日并不是巧合,此行动的目的就是为了通过向日常网络用户提供高强度的安全和隐私工具,抵制政府监控行为。在此用户可以找到一些使用方便、几乎适用于任何操作系统的工具。请尽情享用这些工具,使用心得可以通过下面的评论部分与我们分享。

提示