在这个普遍存在恶意软件甚至通过黑客操纵选举的时代,很容易得出我们必然会受到网络攻击的结论。恶意软件采用多种形式,旨在实现的目标也多种多样,因此恶意软件攻击几乎可以来自任何地方。它经常被设计用于非法采集个人信息,或者如新闻中所见,也可收集针对我们的想法和意见。社交媒体,一种最受欢迎的泄露途径和凭证盗窃,是黑客们的“乐土”,在这里运行恶意软件通常不需要技能,就可以搜索网络寻找不安全的设备或错误密码,而这些漏洞完全是由人为因素导致。
身份验证是确保某个人在尝试访问设备或服务时所声称的身份的过程。电子邮件是一种常见服务,窃取某人的登录凭据相对简单。对于大多数电子邮件服务,身份验证所需的只是用户名和密码。例如在对竞选官员的黑客攻击中,据称谷歌安全人员发送了一个网络钓鱼邮件,要求用户重置凭据。这个网络钓鱼邮件要么设计的非常好,要么信息技术(IT)安全人员非常糟糕,因为这位官员泄露了凭据,导致官方帐户遭到了黑客攻击;如上所述,这很简单。五万封电子邮件被盗并向公众发布。
要吸取的教训很多。首先,并非所有电子邮件(或社交媒体)都是可信的。每封电子邮件,除非是您认识的人可验证的,否则可能就是一个潜在的陷阱。发现网络钓鱼电子邮件的最简单方法是查看地址。
有一些非常聪明的黑客,他们擅长创建虚假的电子邮件地址,例如“SECURITY at G00GLE.COM”。除了全部是大写,还要仔细看看其他因素。许多不明真相的人被愚弄,因为电子邮件中的演示文稿可以看起来非常真实和令人生畏,从而使注意力远离虚假的电子邮件地址。
打开电子邮件客户端中的选项,该选项允许显示发件人的实际电子邮件地址。合法公司有域名。如果您的客户端不允许这样做,请选择另一个客户端。避免使用基于网页的电子邮件服务,并选择可以控制的本地客户端。最后,无论是通过电子邮件还是通过电话,永远不要向任何人透露凭据。合法公司绝不会通过电子邮件询问您的凭据。
多因素身份验证(MFA)是一种技术,如果实施得当,可以成为防御攻击的有效措施。多因素身份验证的目的是建立一个多层次的防御,使未经授权的人访问计算机系统或网络更加困难。该技术已经广泛使用,一个常见的例子是自动取款机(ATM)。 多因素身份验证使用多种方式(不仅仅是密码)来确定ATM用户是否是他们所声称的用户。有3个因素可以组合起来,创建可以用于各种设备和服务进行身份验证的识别信息:您拥有的东西,您知道的东西,或者您是谁。正确使用这些因素可以防止泄露。
单因素身份验证
单因素身份验证通常通过使用密码来完成。不幸的是,许多密码没有仔细选择,可以很容易猜到或通过简单的方法获得。令人难以置信的是,人们仍然使用“123456”或“654321”作为密码。更糟糕的是使用简单的“密码”或其几种常见变体(例如p @ ssw0rd)。没有多少培训或教育来防止使用不安全的密码。
诸如“1234”的密码,可以在不到0.2ms内被破解。如果密码没有其它选项,请记住密码越长,保密性越强。一些网站提供测试功能,显示破解各种长度密码所需的时间;一个10个字符的混合大小写,数字和符号密码需要87年。到那时,黑客早就死翘翘了。
使用更智能的密码可减少攻击面。创建一个只有您知道其组成部分的公式。例如,它可以是一个实际的代数方程,或者它可以是一系列单词和符号,每次以相同的顺序组合在一起,但具有不同的数字和字母组件。使用设定的公式作为记忆辅助也存在风险:如果公式泄露,所有的登录都会泄露,因此必须要小心谨慎。
双因素身份验证
双因素身份验证涉及前面提到的两个因素的组合。它可能是你所知道的(密码)和你拥有的东西(口令或卡片);它可能是你知道的东西和你拥有的东西(指纹扫描);或者你知道的东西和你是谁。双因素身份验证是一个两步认证。
每当代码发送到您的电子邮件或电话时,除了您的密码之外,还需要输入代码,这就是双因素验证。您在使用的银行卡、信用卡和ATM机都是一些常见的例子。双因素身份验证就是这么简单,但也有危险。密码和令牌都可能被盗。或者你可能被迫使用你的卡和密码。
善意的警告:当设置安全问题是“你所知道的事情”时,并被用作认证的一个因素;强烈建议对这些问题给出错误的答案——只要你能记住它们。因为黑客使用谷歌搜索,很容易找到诸如母亲婚前姓什么或以前的地址甚至第一只宠物等信息。对于社交媒体来说尤其如此,因为社交媒体可能会让人们忍不住晒出一切。即使存在所描述的陷阱,在合理谨慎的情况下,使用双因素身份验证仍可以保护个人免受泄露行为的伤害。
三因素认证
在普通消费者环境中,很少使用三因素认证。在高度安全的环境中,有三个因素是常用的。希望访问高度安全的区域、设备或服务的个人,可能希望使用密码或PIN、身份证或令牌,以及扫描某些身体部位,如指纹、掌纹、虹膜或脸。这与其它安全技术一起,几乎可以确保正确的身份验证。
但是,没有任何东西可以防止有权访问安全地点或数据的特定个人,使用这些因素来破坏系统。在这种情况下,个人已经排除了用作行为预测因子的其它筛查方法。
密码的最佳实践
没有理由使用简单或弱的密码。第一个攻击向量始终面向用户密码。如果受害者可以被欺骗提供他们的密码,那么其余的就很容易。这种情况发生的频率比你想象的更频繁,即使有关于此类事情的媒体报道。这是一场充满信心的游戏,不幸的是,许多人都容易上当受骗。制定和记住复杂的密码需要太多的工作,因此它要么无法完成,要么需要被记录下来。这两种选择都可能导致泄露。
最后,经常被忽视并且在互联网上造成严重破坏的威胁是无法更改常见设备上的默认密码。当您购买新的连接互联网的设备时,首先要做的是更改默认登录凭据。要知道可以使用“admin”或“password”或“1234”的组合作为用户名和密码,来访问数百万的物联网(IoT)设备。
恶意代码Mirai Bot旨在寻找不安全的物联网设备,特别是那些拥有默认管理员用户名和密码的设备。这使Mirai Bot能够进入家庭网络,然后进入更多网络。2016年,由于Dyn 网络攻击,曾导致互联网的很大一部分被关闭。直到2018年7月,Mirai的变种仍然造成了严重破坏。
通过一些努力、思考和常识,多因素身份验证的使用可以使任何设备、服务器或网络被攻击的可能性大为降低。目标是减少攻击面,使其在网络范围内不那么可见。有些人在没有风险或缺少阻力的情况下会掠夺他人以获得丰厚的回报。归根结底,只有您可以保护您的信息,并且学习如何保护您的信息是值得的。(作者:DAN CAPANO)