创见干货:密码太长记不住,密码太简单又容易被黑客攻击。普通人的生活被黑个账号也许无伤大雅,但涉及到企业邮箱等商业秘密,一旦资料泄露那后果不堪设想。为了解决这些问题,Duo security 公司,一家专注企业移动安全的公司,开发了双重验证系统。帮助用户轻松登陆,也一定程度降低黑客攻击的风险。
昨天我(原文作者)妻子的 Gmail 账户被黑客给黑了。我最后帮她把账户找回了,但花了我一个小时时间而且差点就没法恢复账号。如果这种事发生在你们公司的企业邮箱上,那后果就不单单是花费某人的一个小时时间这么简单了。
在我帮我妻子恢复账号后我做了一件事(当然也是你们应该做的):我给企业邮箱账号设置了双重验证。
双重验证不像只需输入用户名和密码来登陆那么简单,通常是需要通过短信或你的手机上的应用来发送验证码给你,但也可以通过生物数据来验证——比如可以用 iPhone 上的指纹感应在 Apple Pay 上付款。
我只花了 1 分钟就给我妻子的 Gmail 账户设置好了双重验证登陆,这至少比做生意要简单多了吧?为了设置这个双重验证,我求教了企业移动安全公司(Duo security)安全调研部的主管 Steve Manzuik(以下用 SM 代替)。
我:正如我妻子的例子所示,安全环节通常是公司在遇到问题后才会考虑的事情。最近几桩大型黑客事件(最后通过设置双重验证才防止损失加重)涉及的行业大亨包括苹果公司(名人照片由 iCloud 外泄)、Bitly(短链服务提供商,缩短你的网址链接使之更易被分享,译注)、印象笔记、甚至是投资银行摩根大通。这些公司在被黑后估计都为没有事先设置双重验证登陆而后悔不迭。现在问题来了,我们到底该如何劝说那些企业未雨绸缪为安全问题做些准备?
SM:这些公司应该重视安全问题的原因有若干个,其中有些原因很显而易见,而有些却往往被人们所忽视。
首先,在出现黑客问题后,你们公司的董事第一个想要责备的人不是 CIO 也不是 CISO(首席信息安全部部长),而是 CEO。
资料泄露已经不仅仅是技术问题了。他们关系到商业的核心问题。根据最近纽约证券交易所和安全公司 Veracode 联合开展的一份关于 200 家公司主管的调查表明,超过 40% 的调查者认为 CEO 应该承担资料泄露所造成的一切不良后果。
其次,安全服务行业的复杂晦涩和价格昂贵已经在业内是众所周知的。像摩根大通这样的行业大亨每年投资 2.5 亿美元——下个五年里估计要翻倍到 5 亿美元——为的就是防止以后不被黑客攻击,哪怕这些昂贵的服务和产品其后的技术涉及的只是非常简单的数据。那我们这些行业新手该怎么做呢?
第三,根据报告,大多数数据泄露的发生并不是因为网络罪犯非常老练,能用复杂的方式入侵企业电脑,而是因为人们登陆凭证遗失或被偷。是的,不会有假,你们公司现在肯定有人就把 123456 设为密码。
我:好吧,那跟我们说说双重验证登陆到底是怎么回事。
SM:双重验证登陆要求用户在输入完用户名和密码后,进行二次验证,以次避免黑客使用盗来的登陆凭证进行非法登陆。因为密码是只有用户知道的,我们还需要确保用户得提供其他信息才能登陆,进而使黑客无计可施。
在过去,第二次验证通常是靠输入数字构成的验证码、智能卡或发送验证短信到你的手机上来完成的。如今的双重验证得益于智能手机的推送技术,让用户能够只需动动手指,在屏幕上简单滑一下就招来一辆 Uber 的车。
双重验证通过让你再输入一串密码来防止黑客通过伪造身份发送邮件(比如编造一封来发自你的银行的邮件)来截取你的密码从而入侵你的系统。使用双重验证会让通过例如病毒软件窃取你的登陆凭证的网络罪犯进行的黑客攻击概率降低。
用了双重验证,无论黑客用什么手法,你都能实时监测,然后及时采取措施以防黑客进一步行动造成更大损失。
我:我懂你的意思了。但双重验证对企业来说有什么最基本的独特卖点?
SM:我跟你说三点。
首先,双重验证对用户的技术水平要求很低。
太多太多的安全保障步骤要求用户在工作中做一些不自然的举动。这些步骤对用户强加了太多不切实际的期待,对他们要求太多。安全保障工作应该设计成简单顺手到让用户无需察觉就能完成的。
复杂的安保手段会让人们不乐于参与,或者更糟糕的是,人们会找认为跟其相关的工具来保护密码。这无疑会使整个环境的安全度下降。
复杂繁琐是安全的大敌。
一个合适的双重验证设计方案能与将与用户的互动降到最低,并且能在不干扰用户日程的前提下无缝嵌入日常生活。
第二点,双重验证不需要任何 IT 管理方面的培训。你不用复杂的 IT 程序来使之生效。
大多数安全问题解决途径都与安装和配置系统相关,为的是能监控管理安保步骤,所以就不用考虑把预算花在昂贵的外聘专家上,让他们给你提供实时维护、监控和客制化服务了。
总而言之,为了运行一个完整的安全保障系统,一些组织不得不雇佣额外的内部安全团队,斥巨资在用户培训上。这些做法的效率都很低下,而且这些信息技术不消一年可能就过时了。
如今的双重验证系统不需要对用户专业化培训,也不需要昂贵的咨询费。而且,双重验证不仅仅是昙花一现的安全科技狂热,它是历经数十年的安全保障的最佳方案,是具有前瞻性的。
最后一点,双重验证能简化密码设置的政策。
人们一度试图设置复杂难猜的密码来防止被盗,安全保障行业还特别地为高保密强度的密码拟定了一个标准的规范。
历时数年,这个高强度密码规范鼓励人们用起了前所未有复杂的密码。如今的用户,普遍上不仅为想出一个所谓的「高保密强度密码」感到头疼,他们也没指望自己能记住这些密码。
用户们都是如何反应的?正如你一样,大多数人把他们「高保密强度密码」写下来,然后随手扔在旁边,或者他们为图方便就在各个网站都同一个密码。这种只需记住一种密码的做法,使他们更容易被网络罪犯给一举攻破防线。
这些情况反复发生,但实际上大可不必这样。
为什么公司们会在被黑客攻击后转向使用双重验证系统?很简单,因为费用低,他们可以承担。而且还能够阻止大量的黑客入侵你的电脑获取宝贵数据。
但是人们最好还是在资料泄露之前就做好准备,看看双重验证系统是否适合你的公司。在经历了公司与黑客斗争的20年历史后,我认为这是保护你的公司信息安全的最好方式了。
