互联网新时代,账户安全该怎么保障?( 二 )
这究竟该怪谁呢?可能你心里会有这几个小嘀咕:
【如果不是销售员泄露了账号密码 , 那是不是数据就不会被盗呢?】
【如果密码设置的难一些 , 别人即使看到了 , 是不是也不容易记住呢?】
【如果汽车公司的登录系统做的再复杂一些 , 除了校验账号密码以外 , 再校验下其他某个只有销售员才知道的信息 , 那数据是不是就不会被盗呢?】
微村智科创始人郭欣表示:作为投资人 , 原来我们听到拟投企业说自己积累了大量数据 , 会觉得这是企业建立的壁垒 。
现在 , 我们再听到同样的说法 , 我们会追问:“数据来源是否合法?”“有没有数据泄露风险?”“怎么保障数据的安全?”“有没有买数据安全产品?”
数据不再是多多益善的资产 , 更附带上了合规成本以及安全维护成本 。
相信这类事件对所有人都是个警醒 。 那我们是不是该有一些更深刻的反思呢?如何从根本上来提高账户的安全性呢?
为什么互联网的元老【账号密码】方式就不安全了呢?
根本原因有两种:
1.记忆本性
人们总是偏向于创建自己能记得住的密码 。 然而这正是漏洞所在 , 也是大多数企业想要防止的事情 , 参看如下这张图:
文章图片
企业总是希望自己的用户能将密码的难度提高 , 以防止攻击者的闯入 , 然而人的记忆本性是无法记住复杂信息的 。 据统计 , 15%的人用宠物的名字来当做密码 。 其他常见的密码规则包括生日等重要日期以及姓氏等 。 十分之一的人会跨APP重复使用口令 , 40%的人表示他们使用了格式化的口令 , 例如Fall2021 , 最终成为Winter2021或Spring2022 。
2.黑客攻击
上述简单的密码可能更容易记住 , 但黑客也更容易猜到 。 一旦账号密码被泄露 , 通常会在网络黑市上出售 , 用于大数量级的攻击 。 黑客也有很多工具和技术 。 他们可以使用自动密码嗅探工具尝试多种可能性 。 也可能利用网络钓鱼 , 让你将账号密码录入一个假网站 。 这些策略相对来说并不复杂 , 已经使用了几十年 , 但它们仍然有效 , 因为仍然是由人类创建的 。
美国网络安全和基础设施安全局(CISA)将只有账号密码的登录方式视为“异常危险” 。 如下所说:
单因素身份验证意味着用户名和密码授予用户访问权限 , 无需其他任何要求 。 据CISA称 , 这是一种非常普遍的高风险做法 。 微软透露 , 其云服务每天有大约3亿次欺诈性登录尝试 。 即使是八位字符的密码——混合了数字、大小写字母和特殊字符——也相对容易破解 。
许多员工在公司管理系统中 , 在多个帐户中重复使用基本相同的密码 。 这是个不争的事实 。
员工希望以尽可能少的复杂性来完成他们的工作 , 因此他们可能倾向于创建变化最小的密码 , 以便他们可以记住的密码 。
我们需要找到平衡用户需求与密码安全的解决方案!
密码之所以重要 , 是因为其保护的是关键业务帐户、网络访问或敏感数据 , 如此重要的信息却依托于如此脆弱的安全机制 , 是极其失衡的 。
因此企业必须考虑 , 如何在不过分伤害用户体验的同时 , 加上一些其他的验证手段 , 来保证登录账号的人就是真实的本人 。 这些验证手段 , 应该只有本人才能得以操作 , 从而保障在做重大操作的时候确保是本人在进行 。 这就是MFA 。
MFA全称:多因素认证(MultiFactorAuthentication , 简称MFA)是一种简单而有效的安全实践方法 , 它能够在用户名称和密码之外再额外增加一层保护 。 启用多因素认证后 , 用户进行操作时 , 除了需要提供用户名和密码外(第一次身份验证) , 还需要进行第二次乃至多次身份验证 , 多因素身份认证结合起来将为你的帐号和资源提供更高的安全保护 。
- |互联网运营是什么?快来看看你是哪种类型的运营
- 智能制造|企业转型的新时代,夹缝中求生存
- 合规|上海制定反垄断、互联网营销算法、盲盒经营活动等新业态合规指引
- 互联网时代|原极狐汽车总裁被挖至小米 担任小米汽车副总裁
- 各大银行发出通知:这几个账户即将被“注销”,卡里有钱也不例外
- 阿里巴巴|社区团购是互联网巨头的宝地,美团拼多多发展强劲,阿里坐不住了
- 传音|移动互联网这一仗,向海龙和传音要怎么打?
- 大数据|山东拟新开通5G基站6万个,新培育5个以上工业互联网园区
- Kindle|互联网上这些外国“键盘好人”的彩虹屁,看得人实在是太开心啦
- Java|慎入慎入!!又是被互联网“美人”诈骗的一天!