你是一个数据突破,使你的整个在线生活颠倒。 问题在于密码,密码是确保宝贵资源安全的脆弱途径。
如何保护你的隐私免受黑客、间谍和政府的侵害
简单的步骤可以使失去你的在线帐户或保持现在是一种宝贵的商品:你的隐私。
不要因为相信创建一个更长、更复杂、更难判断的密码会使你在网上更安全而陷入虚假的安全感。 您可以创建一个长而复杂的密码,您需要五分钟才能键入,如果您使用该密码的服务存储不当,然后服务器被破坏,它将不会保护您。 它经常发生。
而且即使有合理的政策到位(复杂性,定期改变,不重复使用),人们仍然是安全链中最薄弱的环节.. 社会工程可以说服即使是聪明的人在钓鱼网站上输入他们的证书,或者通过电话放弃他们。
解决方案是双因素认证,或2FA。 (有些服务作为细节的坚守者,称之为多因素认证或两步验证,但2FA是最广泛使用的术语,所以这就是我在这里选择使用的术语。)
此外:大量的在线购买损失,因为人们记不起密码|火狐密码管理器现在告诉你什么时候使用泄露的密码|Windows10安全指南:如何保护您的业务
微软2019年的一份报告得出结论,2FA有效,阻止了99.9%的自动攻击。 如果服务提供商支持多因素身份验证,微软建议使用它,即使它和基于短信的一次性密码一样简单。 另一份来自谷歌的2019年报告给出了类似的结论。
在这篇文章中,我回答了人们问我关于2FA的一些最常见的问题。
打开服务的2FA会改变安全要求,迫使您在第一次访问未知设备上的安全服务时提供至少两个身份证明。 这两种认证形式可以来自至少两个要素的任何组合:
在大多数情况下,您今天看到的双因素身份验证系统使用第一项(您的密码)和最后一项(您的智能手机)。 智能手机已经变得无处不在,使它们成为理想的安全设备。
您的智能手机可以通过提供一个独特的代码来辅助身份验证,您可以使用它与您的密码一起登录。 您可以通过两种方式之一获取该代码:从服务中作为短信发送,或由安装在您的手机上的应用程序生成。
举个例子,这是我刚才看到的,当我试图从我以前从未使用过的浏览器登录到我的Gmail帐户时。
如果有人试图登录受2FA保护的帐户,他们需要第二个证明,比如来自验证程序的代码
如果这个登录请求是从有人偷了我的谷歌帐户凭证,他们会被阻止死在他们的轨道上。 没有这个代码,他们就无法继续登录过程。
支持2FA的大多数(但不是所有)服务提供了身份验证方法的选择。 例如,谷歌和微软都可以将通知推送到受信任的设备;您可以点击通知以批准登录。 越来越多的服务支持使用硬件安全密钥(参见:“Yubi Key hand-on:Hardware-based2FA更安全,但要otchas)。
当然,大多数服务提供了打印备份恢复代码的选项,您可以将其存储在安全的地方,并在通常的二次身份验证方法不可用的情况下使用。 如果您的智能手机丢失、被盗或损坏,您将需要这些代码。
2020年最佳安全密钥:基于硬件的在线保护双因素认证
虽然健壮的密码在保护您有价值的在线帐户方面有很大作用,但是基于硬件的双因素身份验证将这种安全性提升到下一个级别。
多读一点
最好的身份验证方法是您最满意的方法。 只要确保你至少有两个选择,以避免被锁定在你的帐户之外的风险。
我更喜欢使用验证程序,而不是在可能的情况下通过短信接收代码,你也应该这样做,有两个很好的原因。 一是简单物流问题.. 有些时候,你可以访问互联网(通过有线连接或Wi-Fi),但不能接收短信,因为你的手机信号很弱或不存在,或者你在旅行时使用了不同的SIM。 第二个问题是,攻击者通过移动运营商的防御系统进行社交活动,获取带有手机号码的SIM卡的可能性很小,但这一过程被称为“SIM-jacking”。
最受欢迎的2FA应用程序是GoogleAuthenticator,它可以在iOS和Android上使用。 但是有很多选择;因为生成安全令牌的过程是基于开放标准的,所以任何人都可以编写一个执行相同功能的验证器应用程序。 事实上,您可以使用多个验证程序。 我使用MicrosoftAuthenticator,它能够接收来自Microsoft平台上的个人和业务帐户的推送通知,以及第三方应用程序Authy。 (详情见“保护自己:如何选择正确的双因素认证程序”)
值得注意的是,验证器应用程序只需要在初始设置过程中进行数据连接。 在那之后,一切都发生在你的设备上。 该过程由一个广泛接受的标准管理,该标准使用基于时间的一次性密码算法(TOTP)。 该算法使用验证器应用程序作为一个复杂的计算器,使用设备上的当前时间和共享秘密生成代码。 在线服务使用相同的秘密和自己的时间戳来生成与其条目相比的代码。 连接的两边都可以调整时间,没有问题,尽管如果设备上的时间错误,您的代码将失败。
当我十年前开始写这项技术时,2FA的支持相对较少。 今天,这很平常。
谷歌账户,包括消费者Gmail和商业GSuite账户,提供了广泛的两步验证方案。 所有微软帐户,包括Outlook.com、Xbox、Skype和其他消费服务使用的免费帐户,都支持各种身份验证选项,以及与微软业务和企业服务一起使用的AzureActiveDirectory帐户,包括Microsoft365和Office365。
2FA支持在社交媒体服务(Face book、Twitter、Instagram等)中无处不在。 每个值得考虑的在线存储服务都支持2FA,就像大多数域名注册商和网络托管公司一样。 如果您不确定某个特定的服务,最好的检查地点是一个极好的开源信息存储库,称为两个因素自动列表。 如果您所依赖的高价值服务不支持2FA,那么,也许您应该考虑切换到它。
您可能在支持2FA的数十个在线服务上拥有登录凭据,因此最好的策略是列出一个优先顺序列表并通过它工作。 我建议这些优先事项:
为大多数在线服务设置额外的安全性需要最低限度的技术技能。 如果您可以使用智能手机的相机,键入一个六位数的数字,并在对话框中点击OK,您就拥有了所需的所有技能。 工作中最困难的部分是找到具有相关设置的页面。
如果你使用短信,你所需要做的就是把一个手机号码和你的帐户联系起来。 (你也可以使用虚拟电话线,例如谷歌语音号码,可以接收短信。) 当您在不受信任的设备上登录时,配置帐户以将代码发送到该号码。 例如,以下是在Twitter帐户上启用此选项的情况:
最简单的2FA选项是一个代码,通过短信发送到注册电话。 这是Twitter的2FA设置页面。
在Twitter帐户上设置2FA需要您首先重新输入密码,然后输入要接收身份验证代码的电话号码。 完成该过程后,您将收到该设备上的代码。 输入代码以确认您收到它,2FA设置完成。 顺便说一句,Twitter在这个设置过程结束时自动生成一个恢复代码;打印出来并将其存档在一个安全的地方,这样您就可以在主2FA方法不再工作的情况下恢复。
要开始使用验证器应用程序,首先需要将该应用程序安装在您希望用作第二个身份验证因素的移动设备上:
在为您的设备安装应用程序后,下一步是将其设置为与启用2FA的每个帐户一起工作。
另外:让您的云更安全:如何为最流行的云服务启用双因素身份验证。
安装过程通常要求您使用移动应用程序输入共享秘密(长文本字符串)。 我上面列出的所有移动应用程序都支持使用智能手机摄像头拍摄QR代码的图片,其中包含了您帐户的共享秘密。 这比手动输入复杂的字母数字字符串容易得多。
例如,这里是设置Dropbox帐户时会看到的QR代码:
在您的智能手机应用程序中,选择添加新帐户的选项,然后快照条形码图片自动设置2FA支持。
在你的验证程序中。 选择添加新帐户的选项,选择条形码选项,将智能手机瞄准计算机屏幕上的条形码,并等待应用程序填写必要的字段。
在认证器应用程序中设置帐户后,它开始根据共享秘密和当前时间生成代码。 若要完成安装过程,请从验证器应用程序输入当前代码。
网络战与网络安全的未来
今天的安全威胁的范围和严重性都有所扩大。 如果信息安全处理不当,现在可能有数百万美元甚至数十亿美元的风险。
多读一点
下次尝试使用新设备或Web浏览器登录时,需要输入当前代码,如验证程序应用程序所显示的。
如果您使用旧的电子邮件应用程序,不支持现代认证与一个帐户保护2FA,您的正常密码将不再工作。 您需要生成专门用于这些应用程序的特殊密码。 您的帐户的安全设置应该指导您完成该过程。 (但实际上,如果您使用的是需要应用程序密码的旧应用程序,也许您应该考虑替换它。)
作为2FA设置过程的一部分,您还应该生成一个或多个恢复代码,您可以打印出来并存储在安全的地方。 如果您的智能手机丢失或损坏,您可以使用这些代码重新访问您的帐户。
如果您使用短信作为第二个身份验证因素,将您的号码传输到新手机将无缝地传输您的2FA设置。
一些认证程序允许您在多个设备上生成代码。 1密码和Authy都属于这一类别。 在新手机上设置APP,安装APP,签到,然后查看各个账号,确认新手机上生成的代码正常工作..
但是,对于Google Authenticator和其他不需要修饰的应用程序,您需要手动重新创建新设备上的每个帐户。 在您的新设备上安装验证器应用程序,并重复您与旧手机一起使用的每个帐户的安装过程。 在新的验证程序应用程序上设置帐户将自动禁用旧设备生成的代码。
双因素认证将阻止大多数偶然的攻击死在他们的轨道上。 不过,并不完美。 一个确定的攻击者直接针对一个特定的帐户可能能够找到方法来围绕它工作,特别是如果他可以劫持用于恢复或重定向电话和短信到他控制的设备的电子邮件帐户。 但如果有人决心闯入你的账户,你就有更大的问题了。