双因素身份验证(2FA)是防止未经授权访问在线帐户的唯一最有效方法。还需要说服力吗?看看这些来自微软的令人瞠目结舌的数字。
2020年2月,微软在RSA大会上发表了一篇题为“打破密码依赖:微软最后一英里的挑战”的演讲。如果你对如何保护用户帐户感兴趣,整个演讲会非常吸引人。即使这种想法让你头脑麻木,但给出的统计数据和数字都是惊人的。
微软每月追踪超过10亿活跃账户,占全球人口的近1/8。它们每月产生300多亿次登录事件。每次登录到企业O365帐户都可以跨多个应用生成多个登录条目,还可以为使用O365进行单次登录的其他应用生成其他事件。
如果这个数字听起来很大,请记住,微软每天都会阻止3亿次欺诈性登录尝试。同样,这不是每年或每月,而是每天3亿美元。
2020年1月,48万个Microsoft帐户(占所有Microsoft帐户的0.048%)受到攻击。这是攻击者运行公共密码(如“Spring2020!),希望其中一些人会使用这个通用密码。
喷雾剂只是攻击的一种形式,还有成百上千的喷雾剂是由填充物引起的。为了永久保存这些信息,攻击者在黑暗网络上购买用户名和密码,然后在其他系统上进行尝试。
然后,还有网络钓鱼,就是攻击者说服你登录一个假网站来获取你的密码。通常来说,这些方法就是在线账户被“黑客”的典型方式。
一月份,微软总共有超过100万个账户被攻破。这仅仅是每天32000多个泄露账户,这听起来很糟糕,直到你还记得每天停止的3亿次欺诈性登录尝试。
但最重要的数字是,如果这些帐户启用了双因素身份验证,99.9%的Microsoft帐户违规行为都会被阻止。
相关:如果你收到一封网络钓鱼邮件,你该怎么办?
作为一个快速提醒,双因素身份验证(2FA)需要一个额外的方法来验证您的帐户,而不仅仅是用户名和密码。这种附加方法通常是通过短信息发送到**或由应用程序生成的六位数代码。然后,在您的帐户的登录过程中键入该六位代码。
双因素认证是一种多因素认证(MFA)。还有其他的MFA方法,包括**设备的物理USB令牌,或者指纹或眼睛的生物特征扫描。然而,发送到**上的代码是目前为止最常见的。
然而,多因素身份验证是一个宽泛的术语,例如,一个非常安全的帐户可能需要三个因素而不是两个因素。
相关:什么是双因素认证,为什么我需要它?
在喷射攻击和凭证填充中,攻击者已经拥有一个密码,他们只需要找到使用它的帐户。通过网络钓鱼,攻击者同时拥有你的密码和帐户名,这更糟糕。
如果一月份被攻破的微软账户启用了多因素身份验证,仅仅拥有密码是不够的。黑客还需要访问受害者的**才能获得MFA代码,然后才能登录这些账户。如果没有**,攻击者就无法访问这些帐户,也就不会被攻破。
如果你认为你的密码是不可能猜到的,而且你永远不会陷入网络钓鱼攻击,让我们深入了解事实。根据微软首席架构师alexweinart的说法,在保护帐户安全方面,你的密码其实没那么重要。
这不仅仅适用于Microsoft帐户,如果不使用MFA,每个在线帐户也同样容易受到攻击。据Google称,MFA已经百分之百地阻止了自动bot攻击(喷雾攻击、凭证填充和类似的自动方法)。
如果你看看谷歌研究图表的左下角,“安全密钥”方法在阻止自动机器人、网络钓鱼和目标攻击方面是100%有效的。
那么,什么是“安全密钥”方法呢?它使用**上的应用程序生成MFA代码。
虽然“短信代码”的方法也非常有效,它绝对比没有一个应用程序的MFA更好。我们推荐Authy,因为它免费,易于使用,而且功能强大。
相关:短信双因素认证不是完美的,但你仍然应该使用它
您可以为大多数在线帐户启用2FA或其他类型的MFA。对于不同的帐户,您可以在不同的位置找到设置。不过,一般来说,它在帐户的“帐户”或“安全”下的“设置”菜单中
幸运的是,我们的指南涵盖了如何为一些最流行的网站和应用程序打开MFA:
MFA是保护您的在线帐户的最有效方法。如果你还没有做到这一点,花点时间尽快打开它,特别是对于重要的帐户,如电子邮件和银行业务。
...攻击时会发生什么。如果黑客是你身边的人,你可能不会注意到你的帐户有任何变化,如果它只是为了监视你。 ...
...有理由定期检查您的帐户是否有非法访问的迹象。如果你注意到你突然开始关注陌生的账户,那可能只是Instagram或Snapchat帮你发现了新的人。收到你没有要求的密码重置邮件一点也不可疑。如果你的朋友让你知道你的帐户发布了...
... 请注意,2FA仅适用于至少有一台设备使用iOS9或OSXElCapitan或更高版本的iCloud用户。如果您的设备不兼容,您仍然可以使用两步验证,这依赖于发送到电话号码的短信。要了解...
...能电视之类的东西总是连接到互联网上时,这也让它们对黑客敞开了大门。事实上,物联网是一个潜在的安全噩梦。 ...
...有数据来增强密码安全性。 但是,请注意,在黑客攻击发生时,只有(大约)一半的密码被转移到bcrypt,另外3400万密码使用SHA-1加密,这是一种不太安全的加密方法。这些密码也没有丢失,因为Dropbox对SHA-1密...
不管你认为你的密码有多好,你的Instagram账户都可能被黑客入侵。如果发生这种情况,你需要知道如何解决。 ...