五大认证方式:确保你的私人照片安全无忧

是否还记得去年闹得纷纷扬扬的好莱坞艳照门事件 – 一些好莱坞女星的裸照被公开放到互联网上?这一事件不仅让一些人整日惶惶恐恐,但同时也是一个极具教育意义的安全例子。 比如,这一事件让许多人意识到将他们宠物的名字作为密码并非最安全的选择;双因素认证对于IT极客而言并非牢不可破,对于任何一名普通iPhone用户而言也同样赢弱不堪。 去年的好莱坞艳照门事件的确闹出了很大动静,这些从苹果iCloud服务(使用苹果设备上传照片拷贝)外泄的照片全部被黑客保存了起来。当时这些黑客通过将网络钓鱼和暴力破解结合使用,只采用了最简单的一种破解方法就成功攻破了该项网络服务。为了弥补这一漏洞和从保护用户的考虑,苹果对iCloud启用了双因素认证(或称为”2FA”)并要求用户每次上传照片至iCloud时都使用这一认证方法。 然而,无论是iCloud,还是Gmail、Facebook和许多其他网络服务,2FA依然是可选项,而非强制选项。因此大多数人选择跳过这一步骤,原因是许多人为了节省时间而且认为使用起来过于繁琐。 然而,就算你不是Kim Kardashia或Kate Upton(时尚名媛和模特),你也会很容易丢失自己电邮或社交媒体上的个人资料。最后造成的结果很可能是灾难性的,尤其是你在网络公司上班的话。 两把锁更安全 大多数人认为双因素认证就是系统向手机发送的一次性短信密码。没错,这的确是网络服务最常用的一种2FA方法,但却并非是唯一的方法。 一般来说,2FA就好比一扇装有两把锁的门。其中一把锁是传统的登录密码组合,另一把可以是任何形式的内容。此外,如果你觉得两把锁还不够的话,只要你喜欢,想装多少把都可以,但开门的时间会变得更长,因此最好还是先安装至少两把锁。 通过短信发送的密码是一种容易理解且相对可靠的认证方式,但却并非总是使用方便。每次访问网络服务时,你都需要将手机握在手里,随后等待短信发到手机,最后输入短信内的验证码… 一旦你输错或输入太迟的话,就必须重复之前的操作。但如果服务运营商网络出现拥堵的话,那短信接收很可能会延迟。就我个人而言,这的确很烦人。 如果手机信号未能覆盖手机的话(在旅途中时常会发生),你根本就收不到验证码。而一旦你手机不幸丢失,而你当时又无法利用其他通讯工具的话,这就更加让人沮丧了。 为避免上述情况的发生,许多像Facebook和Google这样的网络服务提供商采用了其他的方法。例如,他们提供一长串你能预先编译的一次性密钥,打印出并保存在某个安全地方。 此外,使用通过短信发送一次性验证码的2FA不一定每次都能成功,而且一旦使用其他未知设备登录的话也同样可能失败。无论使用哪种方法,决定权都在你自己手上,还需要看你的偏执程度了。所有绑定你账号的应用程序(例如:电邮客户端)都可以使用这一方法。一旦使用特殊生成的密码,其安全性可以长久得到保障。 那么,除非你每天都要换不同手机登录网络服务,启用短信验证码的2FA依然不失为一种较为方便的认证方法。只需成功设置,通常来说都能正常使用。 通过智能手机上确认身份 如果你需要经常出差旅行,使用专门的应用程序不失为一种更智能的启用2FA方式。与短信验证不同的是,这一认证方法可以离线使用。一次性密码不再由服务器生成而是智能手机(当然,首次使用需要在联网条件下设置)。 尽管市面上有许多验证应用,但Google Authenticator绝对可以堪称行业标准。除了Gmail以外,这一程序还支持像Facebook、Tumblr、Dropbox、vk.com和WordPress这样的网络服务。 如果你更钟情于拥有多种功能的应用,可以试试Twilio Authy。尽管与Google Authenticator相似,但却拥有不少其他有用的功能选项。 首先,该应用允许你将证书保存到云和复制到其它设备(智能手机、PC电脑、平板电脑以及包括Apple Watch在内的其他平台)。即使某个设备被盗的话,你也依然可以控制自己的账户。该应用每次启动时都需要输入PIN码,如果你的设备不幸感染病毒的话,密钥也可以被撤销。 其次,与Google Authenticator不同的是,一旦你使用新设备的话,Twilio Authy还会让你的生活变得更加轻松。 单密钥认证

是否还记得去年闹得纷纷扬扬的好莱坞艳照门事件 – 一些好莱坞女星的裸照被公开放到互联网上?这一事件不仅让一些人整日惶惶恐恐,但同时也是一个极具教育意义的安全例子。

比如,这一事件让许多人意识到将他们宠物的名字作为密码并非最安全的选择;双因素认证对于IT极客而言并非牢不可破,对于任何一名普通iPhone用户而言也同样赢弱不堪。

去年的好莱坞艳照门事件的确闹出了很大动静,这些从苹果iCloud服务(使用苹果设备上传照片拷贝)外泄的照片全部被黑客保存了起来。当时这些黑客通过将网络钓鱼和暴力破解结合使用,只采用了最简单的一种破解方法就成功攻破了该项网络服务。为了弥补这一漏洞和从保护用户的考虑,苹果对iCloud启用了双因素认证(或称为”2FA”)并要求用户每次上传照片至iCloud时都使用这一认证方法。

然而,无论是iCloud,还是Gmail、Facebook和许多其他网络服务,2FA依然是可选项,而非强制选项。因此大多数人选择跳过这一步骤,原因是许多人为了节省时间而且认为使用起来过于繁琐。

然而,就算你不是Kim Kardashia或Kate Upton(时尚名媛和模特),你也会很容易丢失自己电邮或社交媒体上的个人资料。最后造成的结果很可能是灾难性的,尤其是你在网络公司上班的话。

两把锁更安全

大多数人认为双因素认证就是系统向手机发送的一次性短信密码。没错,这的确是网络服务最常用的一种2FA方法,但却并非是唯一的方法。

一般来说,2FA就好比一扇装有两把锁的门。其中一把锁是传统的登录密码组合,另一把可以是任何形式的内容。此外,如果你觉得两把锁还不够的话,只要你喜欢,想装多少把都可以,但开门的时间会变得更长,因此最好还是先安装至少两把锁。

通过短信发送的密码是一种容易理解且相对可靠的认证方式,但却并非总是使用方便。每次访问网络服务时,你都需要将手机握在手里,随后等待短信发到手机,最后输入短信内的验证码…

一旦你输错或输入太迟的话,就必须重复之前的操作。但如果服务运营商网络出现拥堵的话,那短信接收很可能会延迟。就我个人而言,这的确很烦人。

如果手机信号未能覆盖手机的话(在旅途中时常会发生),你根本就收不到验证码。而一旦你手机不幸丢失,而你当时又无法利用其他通讯工具的话,这就更加让人沮丧了。

为避免上述情况的发生,许多像Facebook和Google这样的网络服务提供商采用了其他的方法。例如,他们提供一长串你能预先编译的一次性密钥,打印出并保存在某个安全地方。

此外,使用通过短信发送一次性验证码的2FA不一定每次都能成功,而且一旦使用其他未知设备登录的话也同样可能失败。无论使用哪种方法,决定权都在你自己手上,还需要看你的偏执程度了。所有绑定你账号的应用程序(例如:电邮客户端)都可以使用这一方法。一旦使用特殊生成的密码,其安全性可以长久得到保障。

那么,除非你每天都要换不同手机登录网络服务,启用短信验证码的2FA依然不失为一种较为方便的认证方法。只需成功设置,通常来说都能正常使用。

通过智能手机上确认身份

如果你需要经常出差旅行,使用专门的应用程序不失为一种更智能的启用2FA方式。与短信验证不同的是,这一认证方法可以离线使用。一次性密码不再由服务器生成而是智能手机(当然,首次使用需要在联网条件下设置)。

尽管市面上有许多验证应用,但Google Authenticator绝对可以堪称行业标准。除了Gmail以外,这一程序还支持像Facebook、Tumblr、Dropbox、vk.com和WordPress这样的网络服务

如果你更钟情于拥有多种功能的应用,可以试试Twilio Authy。尽管与Google Authenticator相似,但却拥有不少其他有用的功能选项。

首先,该应用允许你将证书保存到云和复制到其它设备(智能手机、PC电脑、平板电脑以及包括Apple Watch在内的其他平台)。即使某个设备被盗的话,你也依然可以控制自己的账户。该应用每次启动时都需要输入PIN码,如果你的设备不幸感染病毒的话,密钥也可以被撤销。

其次,与Google Authenticator不同的是,一旦你使用新设备的话,Twilio Authy还会让你的生活变得更加轻松。

单密钥认证

上述这些安全解决方案存在一个很大的漏洞。如果你使用同一部手机登录并通过短信接收一次性密码,或者在里面部署生成2FA密钥的应用的话,其安全保护能力似乎并不太可靠。

硬件令牌可以提供更高等级的安全保护。尽管外形和形状因数都有所不同:USB身份锁、智能卡和数字显示的离线令牌,但原理基本都一样。基本上来说,这些都是微型计算机,一经请求即可生成一次性密钥。这些生产密钥可以手动也可以自动输入— 比如,通过USB接口。

此类硬件密钥无需网络覆盖、手机或其它任何条件就能正常使用。但这些工具需要单独购买,而且由于实在太小也比较容易丢失。

通常来说此类密钥用来保护网银服务、企业系统和其它重要网络服务。同时,你还可以使用有着漂亮外观的USB存储器保护你的Google或WordPress账号,前提条件是拇指驱动器支持开放式FIDO U2F身份认证(类似于流行的YubiKey加密卡)。

展示你的植入芯片!

传统硬件密钥尽管能提供高级安全保护,但使用时却不太方便。你可能已经烦透了每次访问在线服务时都需要插入U盘,而且U盘还无法插入智能手机。

但如果使用通过蓝牙或NFC(近场通信)发送的无线密钥就方便多了。顺便提一下,很有可能今年夏天在全新FIDO U2F认证中推出。

用来识别合法用户的标签几乎可以部署在任何地方:钥匙扣、银行卡甚至植入皮肤内的NFC芯片中。任何智能手机都能读取这一密钥并对用户进行验证。

多重因素认证

然而,所有双因素认证理念都已经过时了。像Google和Facebook这样的大型网络服务商都开始使用多因素分析法来最终确保用户访问的安全。他们对用于登录的设备和浏览器以及地址或使用模式进行评估。银行业也使用类似的系统来寻找欺诈行为。

因此在不久的将来,我们很有可能依靠高级多因素认证解决方案,并在便利性和安全性之间取得良好的平衡。针对这一方法的一个很好的例子就是Abacus项目并在最近举办的Google I/O会议上进行演示

在不久的将来,你的身份将不仅通过密码确认,而是通过一系列其他因素来确认:你的地址、你当前正在做的事情、你演讲的方式、你的呼吸和心跳以及你是否使用了网络修复等等。用来检测和识别这些因素的设备很可能就是你的智能手机。

这里举个例子。瑞士研究人员将你周围的杂音作为一项认证因素

这一理念背后的创意相当简单,研究人员将其称为”Sound-Proof”。一旦你试图通过计算机访问某项网络服务,服务器就会向安装在你智能手机上的应用发送请求。无论是计算机还是智能手机都会记录你周围的声音,并将这些声音转换为数字签名,进行加密后发送至服务器进行分析。一旦匹配的话,即会作为合法用户访问账号的一 个证明。

当然,这一认证方法并非理想。如果不法分子当时”恰巧”坐在用户身旁,那又该怎么办?周围的杂音实际上可能完全一模一样。因此,应该还有其他因素能防止不法分子病毒感染你的账户。

毕竟,无论是Sound-Proof还是Abacus项目都是针对未来的网络安全。这些技术在商业化以后,到时候信息安全领域的威胁和挑战很可能也会发生演变。

而就目前的网络安全状况而言,用户只需确保启用2FA。你可以在许多网站找到如何针对大多数流行网络服务启用2FA的使用说明,比如:Telesign Turn It On。

黑客题材小说:续写Lisbeth Salander的传奇故事

在我们的印象中,电影中常常会出现这样的黑客入侵计算机的场景– “黑客”往往外形超酷性感,随身装备5个监视器,且使用的是观众从未见过的超炫幻彩黑客工具。此外,这些电影中的黑客使用各种你从未听过的奇特入侵方法,能够轻松潜入任何的系统/网络/防火墙。 对于我们这种有些专业技术背景的人来说,这样的电影场景毫无真实性可言。 在加入卡巴斯基实验室之前,我的工作是黑客入侵公司系统和网络,当然是应客户的要求同时也完全合法。说的具体点,我曾经是一名”黑客”,专门负责发现安全漏洞和问题,而网络攻击者往往会利用这些漏洞问题让公司的数据库和系感染病毒,继而掌控整个公司网络。我们工作的大部分时间都是紧盯一台显示白色文本的黑色终端机。而这也是现实中黑客入侵的真实场景。 除了对真实黑客入侵场景飞马行空的想象以外,整个电影行业以及许多科幻小说家在理解真实黑客入侵过程时也同样存在一个问题。但有些人可能会争辩解道,在找到并对存在漏洞的系统进行漏洞利用时,各种你想不到的黑客方法和工具都有可能用到。 有一天我接到了来自一个自称David Lagercrantz人的电话—坦白地说—我从未听过这个名字,但通过Google搜索发现他写过一些畅销小说。他告诉我他正在构思《千禧年》系列的第四部曲,很想向我请教有关黑客入侵方面的问题。 《千禧年》系列小说讲述的是计算机女黑客-Lisbeth Salander的传奇故事。《千禧年》前三部曲的作者是瑞典作家Stieg Larsson,这三部曲分别是:《龙纹身的女孩》、《玩火的女孩》和《直捣蜂窝的女孩》。 Lagercrantz正在创作和构思《千禧年》系列的第四部曲:《蜘蛛网中的女孩》,并想尝试一些不同的元素。他想知道现实中的黑客到底是如何病毒感染系统,并想在新书中加入一部分真实的情节。我的任务则是帮助他了解有关真实黑客入侵的一切信息以及木马、病毒、漏洞利用和后门等专业术语之间的区别。我还试图向David解释黑客入侵是一个相当繁琐的过程;需要大量的前期研究和计算工作。 我们的第一次见面是在斯德哥尔摩一家酒店的餐厅里,我们详细谈论了有关通过漏洞利用远程访问计算机系统的不同方法。谈话的内容从薄弱密码保护到软件漏洞和社交网络工程无所不包。 在我们的谈话期间,不止一次有女士走到我们面前,询问我们谈得如何以及谈的内容,而我们也都很想知道这到底是什么回事。最终我们发现原来我们谈话的餐厅恰巧同时在办相亲会。为此,我们不得不决定改用电话和电邮交流。 即使缺乏专业技术背景的人也应该能理解新书中涉及黑客入侵的大部分内容。David对此有着严格的要求;我们非常想让真实的黑客入侵情节出现在新书中。而摆在Lagercrantz面前另一个难题是他想写的某些网络攻击案例在现实中极难成功,比如破解某些加密方法。在经过几次电话讨论后,我们认为完全能够将一些紧张刺激的黑客入侵情节加入到这本新书中。 到目前为止我还没有读到这本书,但我对此相当期待。David的的确确在了解真实的黑客入侵上花了不少时间,而不是天马行空地写一些他完全不了解的东西,这一点的确令人欣慰。我也非常自豪能有机会能作为David新书的技术指导,提供黑客入侵技术细节方面的建议。读这样一本真实描写黑客入侵技术和方法的书一定非常有趣。

提示
注册