Lindsey Intrieri|2019年3月20日
随着互联网成为网络犯罪分子偷窃个人信息和提交欺诈的越来越受欢迎的地方,与用户名和密码的简单登录不再足够了。只需要用户名和密码的单因素身份认证(登录)正在更容易获得网络犯罪分子,以获得访问用户的私人信息(财务和个人数据),该犯罪者将用于欺诈行为。这是两步验证和身份验证作为添加保护。
什么是两步验证?
两步验证或认证,缩写2FA或TFA也被称为“多因素认证”。使用时,它需要超出用户名和密码的两步验证过程。这一要求是用户是独一无二的,只有他们拥有,无论是一段信息还是有形项目,如物理令牌。此额外的登录“图层”使犯罪分子更加困难以获得用户的个人信息。请记住,今天的网络犯罪分子正在追求“易于目标”和简单的诈骗,因此在这一增加的阶段本身可以有助于不感兴趣的网络犯罪分子。
两步验证通常与三种类型的用户验证中的两个有效:
- 什么是用户具有(钥匙卡/ FOB)
- 什么是用户知道(安全代码/密码/密码)
- 什么是用户是(指纹,语音识别,生物识别学)
为了使这更容易更方便,一些组织正在使用移动设备和短信(文本)技术来实现两个因素。用户将其发送到其移动设备的唯一代码作为登录所需的辅助认证因素。这减轻了公司需要订购硬件令牌来分配给员工。
这也可以解决一切吗?抱歉不行。现在出现的问题是黑客正在使用帐户“恢复”功能来打破两个因子认证功能。网络犯罪分子现在正在利用“忘记密码”功能来拥有用户的帐户密码重置。通常,在密码恢复功能中,提供用户临时密码来重置其帐户,现在黑客已经绕过了两个因子认证机制。
您的组织是否应该实施两步验证?
答案是绝对的。简单地,密码不再足够强大。根据Heimdal安全统计数据,“90%的员工密码可以在六个小时内破解。”网络攻击者有权在一秒钟内测试数十亿个密码组合。有一个密码是不够的。为黑客获得第二级认证,需要更多的时间和精力。这可能只是足够努力使黑客瞄准你的组织。
