在日常生活中我們經(jīng)常會聽到“世界上沒有一個人值得相信”這樣的話。這是在人際關(guān)系中對對方感到失望或被對方意外傷害時所使用的表達方式。不僅在現(xiàn)實世界中，在網(wǎng)絡(luò)安全方面也有類似的表達方式——這就是“零信任”模式?！傲阈湃巍鄙踔敛恍湃问褂觅~號和密碼訪問的用戶，而只信任嚴(yán)格的身份驗證并通過它授予適當(dāng)?shù)臋?quán)限。

　　何為“零信任”

　　“零信任”代表了新一代的網(wǎng)絡(luò)安全防護理念，它的關(guān)鍵在于打破默認的“信任”。用一句通俗的話來概括，就是“持續(xù)驗證，永不信任”。默認不信任網(wǎng)絡(luò)內(nèi)外的任何人、任何設(shè)備和任何系統(tǒng)，基于身份認證和授權(quán)重新構(gòu)建訪問控制的信任基礎(chǔ)，從而確保身份可信、設(shè)備可信、應(yīng)用可信和鏈路可信?；诹阈湃卧瓌t，可以保障辦公系統(tǒng)的三個“安全”：即終端安全、鏈路安全和訪問控制安全。

　　零信任聽上去很“高大上”、很“專業(yè)”的樣子，其實零信任在日常生活中隨處可見。其中，為賬號設(shè)置“雙重認證”或“多重認證”就是零信任最常見的一種應(yīng)用。

　　設(shè)置多重認證的必要性

　　如今，隨著以數(shù)字為中心的工作環(huán)境的逐漸建立，企業(yè)高管和員工的大部分工作都在云計算等數(shù)字環(huán)境中進行。特別是新型冠狀病毒擴散后，在非接觸環(huán)境下遠程辦公變得越來越普遍。過去，企業(yè)業(yè)務(wù)主要在內(nèi)部網(wǎng)絡(luò)進行，因此安全重點是阻止從外部侵入的攻擊者。但是，在當(dāng)今的工作環(huán)境下，很多企圖從企業(yè)網(wǎng)絡(luò)外部的訪問也是為了業(yè)務(wù)工作，因此安全工作必須正確區(qū)分惡意攻擊和正常訪問。

　　授予用戶訪問系統(tǒng)權(quán)限的最基本方法是賬號。用戶可以使用用戶名和密碼登錄系統(tǒng)，并使用所需的程序或數(shù)據(jù)。問題是在此過程中，有可能使用被盜的憑證（賬號和密碼）。所謂憑證被盜，是指賬號和密碼等被泄露，并被他人惡意利用的狀態(tài)。特別是，即使不是直接從相關(guān)企業(yè)泄露，在其他網(wǎng)站上使用的憑證被重復(fù)使用或使用易于猜測的密碼時，憑證也可能會被盜。

　　這樣的事情不僅發(fā)生在企業(yè)，也經(jīng)常發(fā)生在個人用戶身上。這是一種安全事件，通常用“賬號被黑”來形容。

　　今年8月底，美國洛杉磯一名男子冒充蘋果職員，通過釣魚的方式騙取用戶蘋果賬號信息，并訪問用戶的蘋果iCloud賬戶，導(dǎo)致62萬張照片和9000多個視頻泄漏。其中，包括大量裸照和私生活視頻等。據(jù)美國聯(lián)邦調(diào)查局（FBI）透露，攻擊者利用“蘋果備份iCloud（Applebackupiccloud）”或“備份經(jīng)紀(jì)人iCloud（backupagenticcloud）”等電子郵件地址發(fā)送虛假變更登錄信息的電子郵件，并誘導(dǎo)被釣魚欺騙的用戶輸入自己的賬號信息。據(jù)悉，約有4700多名受害者使用自己的賬號和密碼回復(fù)了電子郵件，其中至少有306人的賬號確認被訪問。

　?。▓D片來源：韓國安全新聞網(wǎng)站）

　　如果用戶的登錄憑證被網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)，將會引發(fā)嚴(yán)重的后果。實際上，在“暗網(wǎng)”中，從購物中心、網(wǎng)絡(luò)游戲網(wǎng)站、企業(yè)郵箱等眾多互聯(lián)網(wǎng)服務(wù)中泄露的用戶賬號和密碼正在被交易。 攻擊者不僅將這些獲得的賬號和密碼輸入相關(guān)服務(wù)，還會輸入多種服務(wù)，從而找到有效的賬戶信息。

　　也許您會說，給所有賬號設(shè)置不同的密碼不就行了嗎？但在實際生活中這種方法可操作性不強。如今，在設(shè)置密碼時，通常要求我們至少包含 6個字符、大小寫字母、數(shù)字和特殊字符，并且我們應(yīng)該至少每月更改一次密碼才算安全。為此，如果您想長期使用該服務(wù)，經(jīng)常會遇到多次密碼輸入錯誤的情況，最終只能通過“找密碼”功能重置密碼后登錄。這給用戶帶來了極大的不便。

　　因此，與其簡單地使密碼復(fù)雜多樣化，使用雙重認證或多重認證（MFA：Multi Factor Authentication）則更加的安全便利。如果說賬號和密碼是一重認證，那么除了這個方法以外，利用附加方式對用戶身份再次進行驗證也可以稱為雙重認證。雙重認證的方式有很多，可以使用ARS、安全卡、一次性密碼（OTP）、電子郵件、短信和應(yīng)用程序等等。例如，在登錄賬號時，一次性密碼會發(fā)送到用戶預(yù)先注冊的智能手機或電子郵箱中，用戶必須一起輸入才能最終登錄；使用智能手機某應(yīng)用程序時進行指紋或拍攝二維碼等認證方式登錄等。

　　身份認證的種類和特點

　　身份認證的種類大致可分為基于知識的認證、基于所有權(quán)的認證、基于屬性的認證、基于行為的認證以及基于使用地點的認證等。

　　（圖片來源：韓國安全新聞網(wǎng)站）

　　基于知識的認證（What I know）是目前最為普遍的一種認證方式，我們經(jīng)常使用的賬號和密碼就屬于該認證方式，修改賬號信息時設(shè)置的“小時候養(yǎng)的小狗的名字”等問題也屬于基于知識的認證。

　　基于所有權(quán)的認證（What Ihave）包括用戶擁有的一次性密碼、智能手機、安全卡、安全令牌等，如今智能手機和專用應(yīng)用程序（PASS等私有認證書）已被普遍使用。

　　基于屬性的認證（What Iam）是一種通過指紋或虹膜等人的獨特特征進行身份認證的方式，一般與其他認證方式一起結(jié)合使用。

　　基于行為的認證（What Ido）是指通過某個人的重復(fù)動作或使用設(shè)備的方式等進行認證，如手寫簽名等多種方式正在被研究和驗證。

　　基于使用地點的認證（Where you are）是指當(dāng)自己擁有的設(shè)備連接到特定網(wǎng)絡(luò)時才能得到認證的方式。例如，當(dāng)智能手機連接到家里使用的路由器時，無需解鎖屏幕即可立即使用；在監(jiān)獄、保密部門等特殊場所要想使用GPS或移動通信時，只有在特定地點才能訪問系統(tǒng)等。

　　這些身份認證方式一般被綜合使用，特別是在具有生物識別功能的智能手機普及的今天，這種趨勢正在進一步擴大。例如，如果您想使用賬號和密碼登錄網(wǎng)站，就會通過安裝在智能手機上的專用應(yīng)用程序發(fā)送相關(guān)認證批準(zhǔn)信息。在此過程中，已經(jīng)使用了基于知識的認證和基于所有權(quán)的認證。特別是，如果為了執(zhí)行認證用應(yīng)用程序，在解鎖智能手機或解鎖應(yīng)用程序時使用了指紋識別，就等于增加了基于屬性的認證。

　　像這樣，隨著身份認證使用的要素類型和步驟越來越多，通過簡單的密碼泄露來竊取賬號就會變得越來越困難。例如，即使網(wǎng)絡(luò)攻擊者意外獲得了用戶的賬號和密碼，如果沒有用戶智能手機也無法執(zhí)行身份驗證應(yīng)用程序；即使智能手機被盜，也無法通過指紋解鎖（基于屬性的認證）。因此，即使您的憑證被盜，也可以保護您的賬號和信息安全。

　　結(jié)語

　　就像前面所提到的那樣，日常生活中我們經(jīng)常聽說或親身經(jīng)歷過“賬號被黑”的事情。例如某人銀行賬戶里的上百萬資金不翼而飛；有人擅自修改了您的QQ密碼；我們有時會收到有人在異地試圖登錄您的電子郵箱或銀行賬號的警告通知等。特別是隨著新型冠狀病毒疫情的擴散，數(shù)字服務(wù)的使用量激增，賬號信息泄露的風(fēng)險正在增加。

　　那么我們該如何更好地保護我們的賬號安全呢？預(yù)防賬號被黑，請從設(shè)置多重認證開始！

　　我們使用的電子郵箱和銀行賬戶等主要服務(wù)都支持多重認證功能。在自己的賬號設(shè)置中一旦啟用多重認證，他人就無法輕易進行非法登錄。并且如果發(fā)生有人試圖非法登錄賬戶時，系統(tǒng)就會告知用戶，以便用戶可以及時更改密碼等采取安全措施。大部分服務(wù)在登錄后可以在賬戶設(shè)置項目中找到“安全設(shè)置”或“安全”等菜單，進行多重認證的相關(guān)設(shè)置。如果您沒有設(shè)置，建議現(xiàn)在就設(shè)置。