在日常生活中我們經(jīng)常會(huì)聽到“世界上沒有一個(gè)人值得相信”這樣的話。這是在人際關(guān)系中對(duì)對(duì)方感到失望或被對(duì)方意外傷害時(shí)所使用的表達(dá)方式。不僅在現(xiàn)實(shí)世界中，在網(wǎng)絡(luò)安全方面也有類似的表達(dá)方式——這就是“零信任”模式?！傲阈湃巍鄙踔敛恍湃问褂觅~號(hào)和密碼訪問的用戶，而只信任嚴(yán)格的身份驗(yàn)證并通過它授予適當(dāng)?shù)臋?quán)限。

　　何為“零信任”

　　“零信任”代表了新一代的網(wǎng)絡(luò)安全防護(hù)理念，它的關(guān)鍵在于打破默認(rèn)的“信任”。用一句通俗的話來概括，就是“持續(xù)驗(yàn)證，永不信任”。默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外的任何人、任何設(shè)備和任何系統(tǒng)，基于身份認(rèn)證和授權(quán)重新構(gòu)建訪問控制的信任基礎(chǔ)，從而確保身份可信、設(shè)備可信、應(yīng)用可信和鏈路可信?；诹阈湃卧瓌t，可以保障辦公系統(tǒng)的三個(gè)“安全”：即終端安全、鏈路安全和訪問控制安全。

　　零信任聽上去很“高大上”、很“專業(yè)”的樣子，其實(shí)零信任在日常生活中隨處可見。其中，為賬號(hào)設(shè)置“雙重認(rèn)證”或“多重認(rèn)證”就是零信任最常見的一種應(yīng)用。

　　設(shè)置多重認(rèn)證的必要性

　　如今，隨著以數(shù)字為中心的工作環(huán)境的逐漸建立，企業(yè)高管和員工的大部分工作都在云計(jì)算等數(shù)字環(huán)境中進(jìn)行。特別是新型冠狀病毒擴(kuò)散后，在非接觸環(huán)境下遠(yuǎn)程辦公變得越來越普遍。過去，企業(yè)業(yè)務(wù)主要在內(nèi)部網(wǎng)絡(luò)進(jìn)行，因此安全重點(diǎn)是阻止從外部侵入的攻擊者。但是，在當(dāng)今的工作環(huán)境下，很多企圖從企業(yè)網(wǎng)絡(luò)外部的訪問也是為了業(yè)務(wù)工作，因此安全工作必須正確區(qū)分惡意攻擊和正常訪問。

　　授予用戶訪問系統(tǒng)權(quán)限的最基本方法是賬號(hào)。用戶可以使用用戶名和密碼登錄系統(tǒng)，并使用所需的程序或數(shù)據(jù)。問題是在此過程中，有可能使用被盜的憑證（賬號(hào)和密碼）。所謂憑證被盜，是指賬號(hào)和密碼等被泄露，并被他人惡意利用的狀態(tài)。特別是，即使不是直接從相關(guān)企業(yè)泄露，在其他網(wǎng)站上使用的憑證被重復(fù)使用或使用易于猜測(cè)的密碼時(shí)，憑證也可能會(huì)被盜。

　　這樣的事情不僅發(fā)生在企業(yè)，也經(jīng)常發(fā)生在個(gè)人用戶身上。這是一種安全事件，通常用“賬號(hào)被黑”來形容。

　　今年8月底，美國(guó)洛杉磯一名男子冒充蘋果職員，通過釣魚的方式騙取用戶蘋果賬號(hào)信息，并訪問用戶的蘋果iCloud賬戶，導(dǎo)致62萬張照片和9000多個(gè)視頻泄漏。其中，包括大量裸照和私生活視頻等。據(jù)美國(guó)聯(lián)邦調(diào)查局（FBI）透露，攻擊者利用“蘋果備份iCloud（Applebackupiccloud）”或“備份經(jīng)紀(jì)人iCloud（backupagenticcloud）”等電子郵件地址發(fā)送虛假變更登錄信息的電子郵件，并誘導(dǎo)被釣魚欺騙的用戶輸入自己的賬號(hào)信息。據(jù)悉，約有4700多名受害者使用自己的賬號(hào)和密碼回復(fù)了電子郵件，其中至少有306人的賬號(hào)確認(rèn)被訪問。

　　（圖片來源：韓國(guó)安全新聞網(wǎng)站）

　　如果用戶的登錄憑證被網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)，將會(huì)引發(fā)嚴(yán)重的后果。實(shí)際上，在“暗網(wǎng)”中，從購(gòu)物中心、網(wǎng)絡(luò)游戲網(wǎng)站、企業(yè)郵箱等眾多互聯(lián)網(wǎng)服務(wù)中泄露的用戶賬號(hào)和密碼正在被交易。 攻擊者不僅將這些獲得的賬號(hào)和密碼輸入相關(guān)服務(wù)，還會(huì)輸入多種服務(wù)，從而找到有效的賬戶信息。

　　也許您會(huì)說，給所有賬號(hào)設(shè)置不同的密碼不就行了嗎？但在實(shí)際生活中這種方法可操作性不強(qiáng)。如今，在設(shè)置密碼時(shí)，通常要求我們至少包含 6個(gè)字符、大小寫字母、數(shù)字和特殊字符，并且我們應(yīng)該至少每月更改一次密碼才算安全。為此，如果您想長(zhǎng)期使用該服務(wù)，經(jīng)常會(huì)遇到多次密碼輸入錯(cuò)誤的情況，最終只能通過“找密碼”功能重置密碼后登錄。這給用戶帶來了極大的不便。

　　因此，與其簡(jiǎn)單地使密碼復(fù)雜多樣化，使用雙重認(rèn)證或多重認(rèn)證（MFA：Multi Factor Authentication）則更加的安全便利。如果說賬號(hào)和密碼是一重認(rèn)證，那么除了這個(gè)方法以外，利用附加方式對(duì)用戶身份再次進(jìn)行驗(yàn)證也可以稱為雙重認(rèn)證。雙重認(rèn)證的方式有很多，可以使用ARS、安全卡、一次性密碼（OTP）、電子郵件、短信和應(yīng)用程序等等。例如，在登錄賬號(hào)時(shí)，一次性密碼會(huì)發(fā)送到用戶預(yù)先注冊(cè)的智能手機(jī)或電子郵箱中，用戶必須一起輸入才能最終登錄；使用智能手機(jī)某應(yīng)用程序時(shí)進(jìn)行指紋或拍攝二維碼等認(rèn)證方式登錄等。

　　身份認(rèn)證的種類和特點(diǎn)

　　身份認(rèn)證的種類大致可分為基于知識(shí)的認(rèn)證、基于所有權(quán)的認(rèn)證、基于屬性的認(rèn)證、基于行為的認(rèn)證以及基于使用地點(diǎn)的認(rèn)證等。

　?。▓D片來源：韓國(guó)安全新聞網(wǎng)站）

　　基于知識(shí)的認(rèn)證（What I know）是目前最為普遍的一種認(rèn)證方式，我們經(jīng)常使用的賬號(hào)和密碼就屬于該認(rèn)證方式，修改賬號(hào)信息時(shí)設(shè)置的“小時(shí)候養(yǎng)的小狗的名字”等問題也屬于基于知識(shí)的認(rèn)證。

　　基于所有權(quán)的認(rèn)證（What Ihave）包括用戶擁有的一次性密碼、智能手機(jī)、安全卡、安全令牌等，如今智能手機(jī)和專用應(yīng)用程序（PASS等私有認(rèn)證書）已被普遍使用。

　　基于屬性的認(rèn)證（What Iam）是一種通過指紋或虹膜等人的獨(dú)特特征進(jìn)行身份認(rèn)證的方式，一般與其他認(rèn)證方式一起結(jié)合使用。

　　基于行為的認(rèn)證（What Ido）是指通過某個(gè)人的重復(fù)動(dòng)作或使用設(shè)備的方式等進(jìn)行認(rèn)證，如手寫簽名等多種方式正在被研究和驗(yàn)證。

　　基于使用地點(diǎn)的認(rèn)證（Where you are）是指當(dāng)自己擁有的設(shè)備連接到特定網(wǎng)絡(luò)時(shí)才能得到認(rèn)證的方式。例如，當(dāng)智能手機(jī)連接到家里使用的路由器時(shí)，無需解鎖屏幕即可立即使用；在監(jiān)獄、保密部門等特殊場(chǎng)所要想使用GPS或移動(dòng)通信時(shí)，只有在特定地點(diǎn)才能訪問系統(tǒng)等。

　　這些身份認(rèn)證方式一般被綜合使用，特別是在具有生物識(shí)別功能的智能手機(jī)普及的今天，這種趨勢(shì)正在進(jìn)一步擴(kuò)大。例如，如果您想使用賬號(hào)和密碼登錄網(wǎng)站，就會(huì)通過安裝在智能手機(jī)上的專用應(yīng)用程序發(fā)送相關(guān)認(rèn)證批準(zhǔn)信息。在此過程中，已經(jīng)使用了基于知識(shí)的認(rèn)證和基于所有權(quán)的認(rèn)證。特別是，如果為了執(zhí)行認(rèn)證用應(yīng)用程序，在解鎖智能手機(jī)或解鎖應(yīng)用程序時(shí)使用了指紋識(shí)別，就等于增加了基于屬性的認(rèn)證。

　　像這樣，隨著身份認(rèn)證使用的要素類型和步驟越來越多，通過簡(jiǎn)單的密碼泄露來竊取賬號(hào)就會(huì)變得越來越困難。例如，即使網(wǎng)絡(luò)攻擊者意外獲得了用戶的賬號(hào)和密碼，如果沒有用戶智能手機(jī)也無法執(zhí)行身份驗(yàn)證應(yīng)用程序；即使智能手機(jī)被盜，也無法通過指紋解鎖（基于屬性的認(rèn)證）。因此，即使您的憑證被盜，也可以保護(hù)您的賬號(hào)和信息安全。

　　結(jié)語

　　就像前面所提到的那樣，日常生活中我們經(jīng)常聽說或親身經(jīng)歷過“賬號(hào)被黑”的事情。例如某人銀行賬戶里的上百萬資金不翼而飛；有人擅自修改了您的QQ密碼；我們有時(shí)會(huì)收到有人在異地試圖登錄您的電子郵箱或銀行賬號(hào)的警告通知等。特別是隨著新型冠狀病毒疫情的擴(kuò)散，數(shù)字服務(wù)的使用量激增，賬號(hào)信息泄露的風(fēng)險(xiǎn)正在增加。

　　那么我們?cè)撊绾胃玫乇Ｗo(hù)我們的賬號(hào)安全呢？預(yù)防賬號(hào)被黑，請(qǐng)從設(shè)置多重認(rèn)證開始！

　　我們使用的電子郵箱和銀行賬戶等主要服務(wù)都支持多重認(rèn)證功能。在自己的賬號(hào)設(shè)置中一旦啟用多重認(rèn)證，他人就無法輕易進(jìn)行非法登錄。并且如果發(fā)生有人試圖非法登錄賬戶時(shí)，系統(tǒng)就會(huì)告知用戶，以便用戶可以及時(shí)更改密碼等采取安全措施。大部分服務(wù)在登錄后可以在賬戶設(shè)置項(xiàng)目中找到“安全設(shè)置”或“安全”等菜單，進(jìn)行多重認(rèn)證的相關(guān)設(shè)置。如果您沒有設(shè)置，建議現(xiàn)在就設(shè)置。