2023-11-17 06:06来源:大国新闻网
只要有一次数据泄露,你的整个网络生活就会天翻地覆。问题在于密码,它是保护宝贵资源的一种极其脆弱的方式。
面对现实吧:你的个人和商业数据每时每刻都在受到威胁——当你在网上购物、银行存款和玩游戏时,保护这些数字资产仍然是你的首要任务。好消息是:现在有比以往更多的安全工具和策略可用。ZDNET最新的网络安全指南提供实用的提示,以保持安全和高效的今天,在不断变化的威胁前景的明天。
不要以为设置一个更长、更复杂、更难猜的密码会让你在网上更安全,从而产生一种错误的安全感。你可以创建一个很长很复杂的密码,需要你花五分钟才能输入,如果你使用密码的服务存储不当,然后他们的服务器被攻破,它就无法保护你。这种事经常发生。
即使有合理的策略来确保密码是强的、随机生成的、不被重用的,人仍然是安全链中最薄弱的环节。社会工程甚至可以说服聪明的人在网络钓鱼网站上输入他们的凭据,或者在电话中放弃他们。
解决方案是双因素身份验证,即2FA。(有些服务严格要求细节,称之为多因素身份验证或两步验证,但2FA是使用最广泛的术语,所以我在这里选择使用这个术语。)
为服务启用2FA会更改安全性需求,从而迫使您在访问安全服务时至少提供两种身份证明。这两种形式的身份验证可以来自以下至少两种元素的任意组合:
如果有人窃取你的密码并试图从未知设备登录,他们需要提供第二种形式的身份证明,通常是数字代码的形式。如果登录请求来自窃取我账户凭证的人,他们就会被当场阻止。没有这个代码,他们就无法继续登录过程。
在大多数情况下,您今天看到的双因素身份验证系统使用第一个项目(您的密码)和最后一个项目(您的智能手机)。智能手机已经无处不在,使其成为理想的安全设备。
你的智能手机可以通过提供一个唯一的代码来帮助你进行身份验证,你可以使用这个代码和你的密码来登录。你可以通过以下两种方式之一获得该代码:从服务中以短信的形式发送,或者通过安装在手机上的应用程序生成。(有些服务还允许你批准智能手机上的推送通知。)
微软的一份报告得出结论,2FA有效,阻止了99.9%的自动攻击。如果服务提供商支持多因素身份验证,微软建议使用它,即使它像基于短信的一次性密码一样简单。b谷歌的另一份报告也给出了类似的结论。
双因素身份验证将阻止大多数偶然攻击。不过,这并不完美。直接针对特定帐户的坚定攻击者可能能够找到绕过它的方法,特别是如果他们可以劫持用于恢复的电子邮件帐户或将电话和短信重定向到他们控制的设备上。但如果有人执意要闯入你的账户,你就有更大的麻烦了。
准备好开始了吗?为大多数在线服务设置额外的安全性只需要很少的技术技能。如果你能使用智能手机的摄像头,输入一个六位数的数字,然后在对话框中点击“确定”,你就拥有了所需的所有技能。这项工作最困难的部分是找到具有相关设置的页面。
这里是你需要知道的关于如何启用2FA来提高你的安全性的一切。
如果你使用短信,你所需要做的就是将手机号码与你的账户关联起来。(您也可以使用虚拟电话线,例如谷歌语音号码,它可以接收SMS消息。)配置该帐户,以便在登录不受信任的设备时向该号码发送代码。例如,下面的截图显示了在在线货币平台Wise上启用该选项时的样子。
当您第一次在帐户上设置这种形式的2FA时,通常需要重新输入密码,然后输入希望接收身份验证码的电话号码。完成该过程后,您将在该设备上收到一个代码。输入代码以确认您收到了它,然后2FA设置完成,服务将该设备标记为受信任。(这也是生成恢复代码、将其打印出来并将该代码归档到安全位置的好时机,以便在主2FA方法不可用的情况下恢复它。)
某些服务允许您设置受信任的电子邮件地址来接收身份验证代码。该过程与使用短信的过程相同。输入您的首选电子邮件地址,等待代码到达您的电子邮件应用程序,并输入代码以确认此方法有效。
要将身份验证应用程序设置为受信任的设备,你必须首先证明你可以使用密码登录该服务,然后使用生物识别技术或PIN码证明你在受信任的设备上所说的是谁。
初始配置过程需要数据连接。之后,一切都在你的设备上进行。这个过程由一个广为接受的标准管理——基于时间的一次性密码算法(TOTP)——它将身份验证应用程序作为一个复杂的计算器,根据你设备上的当前时间和共享密钥生成代码。在线服务使用相同的密钥和自己的时间戳来生成代码,并与您的条目进行比较。连接的双方都可以毫无问题地调整时区,尽管如果设备上的时间错误,您的代码将失败。
首先,你需要在你想要用作第二个身份验证因素的移动设备上安装身份验证器应用程序。以下是一些你可以考虑的身份验证应用:
为设备安装应用程序后,下一步是将其设置为与启用2FA的每个帐户一起工作。
设置过程通常需要你使用移动应用程序输入一个共享密码(一个长文本字符串)。我上面列出的所有移动应用程序都支持使用智能手机摄像头拍摄包含你账户共享密码的二维码。这比手动输入复杂的字母数字字符串要容易得多。
例如,下面的截图是我在设置Dropbox账户时看到的二维码。
在您的身份验证应用程序中,选择添加新帐户的选项,选择条形码选项,将智能手机对准计算机屏幕上的条形码,等待应用程序填写必要的字段。
在身份验证器应用程序中设置帐户后,它开始根据共享密钥和当前时间生成代码。要完成设置过程,请输入验证器应用程序中的当前代码。
下次你尝试用新设备或网络浏览器登录时,你需要输入当前的代码,就像身份验证应用程序显示的那样。
一些2FA设置包括一个选项,可以生成特殊的应用程序密码,用于不支持现代身份验证的古老应用程序。您的帐户的安全设置应该指导您完成该过程。(但说真的,如果你正在使用一款过时到需要输入密码的应用程序,那么你就生活在更新世时代,你应该换一款现代的应用程序。)
作为2FA设置过程的一部分,您还应该生成一个或多个恢复代码,您可以将其打印出来并存储在安全的地方。如果你的智能手机丢失或损坏,你可以使用这些代码重新访问你的账户。
如果您使用SMS文本消息作为第二个身份验证因素,将您的号码转移到新手机也将无缝地转移您的2FA设置。
一些身份验证程序允许你在多个设备上生成代码。密码和授权都属于这一类。在新手机上设置应用程序,安装应用程序,登录,然后检查每个帐户,以确认新手机上生成的代码是否正常工作。Microsoft Authenticator允许您将代码备份到云端,并在新设备上恢复它们。有关分步说明,请参阅“在Authenticator应用程序中备份和恢复帐户凭据”。Authy提供了类似的功能。
然而,对于b谷歌Authenticator和其他简单的应用程序,你需要在新设备上手动重新创建每个帐户。在你的新设备上安装身份验证应用程序,并对你在旧手机上使用的每个账户重复设置过程。以这种方式在新的身份验证程序上设置帐户会自动禁用旧设备生成的代码。
为服务打开2FA会改变安全需求,迫使您在首次访问未知设备上的安全服务时提供至少两个身份证明。在您成功地应对了这个挑战之后,您通常可以选择将设备分类为可信设备,这意味着在您经常使用的设备上,2FA请求应该相对较少。
大多数(但不是全部)支持2FA的服务都提供了身份验证方法的选择。例如,谷歌和微软都可以向受信任的设备推送通知;点击通知以批准登录。越来越多的服务支持使用硬件安全密钥(参见:“YubiKey动手:基于硬件的2FA更安全,但要注意这些陷阱。”)
最好的身份验证方法是您最熟悉的方法,假设您有选择的余地。只要有可能,你应该设置至少两个验证选项,以避免账户被锁定的风险。
当我可以选择时,我更愿意选择使用身份验证应用程序,而不是通过短信接收代码,你也应该这样做,原因有两个。第一个原因是简单的物流问题。有时候你可以上网(通过有线连接或Wi-Fi),但却收不到短信,因为你的手机信号很弱或根本没有信号,或者你在旅行时使用了不同的SIM卡。第二个原因是,攻击者通过社交工程绕过移动运营商的防御,获取带有你电话号码的SIM卡的可能性很小,这个过程被称为SIM卡交换或SIM劫持。
最受欢迎的2FA应用是b谷歌Authenticator,它可以在iOS和Android上使用。但是因为生成安全令牌的过程是基于开放标准的,所以有很多替代方法!另一个备受推崇的选择是Authy,这是一款免费的跨平台身份验证应用,它允许你管理多台设备上的代码,并具有备份和同步这些凭证的能力。
或者你根本不需要专门的身份验证应用。越来越多的密码管理器,如Bitwarden和1Password,包括生成2FA代码并与密码存储库同步的能力。
如果你愿意,你还可以在可信设备上混合使用验证程序应用。我使用1Password来保存大多数网站和服务的密码和2FA代码,使登录更加无缝。不过,我使用单独的Microsoft Authenticator应用程序来处理高价值账户,包括在新设备上设置1Password的验证码。我在这里详细介绍了你的认证应用程序选项:“保护你自己:如何选择正确的双因素认证应用程序。”
十多年前,当我开始写关于这项技术的文章时,对2FA的支持相对较少。如今,它已经司空见惯,并日益成为注重安全的客户对在线服务的要求。
2FA支持在社交媒体服务(Facebook、X/Twitter、Instagram等)中无处不在。每个值得考虑的在线存储服务都支持2FA,大多数域名注册商和网络托管公司也是如此。如果您不确定某个特定的服务,最好的检查地点是一个名为2FA目录的极好的开源信息存储库,它由瑞典非营利组织2factorauth组织运行,并在GitHub上维护。
如果您所依赖的高价值服务不支持2FA,那么,也许您应该考虑切换到支持2FA的服务。
您可能拥有数十个支持2FA的在线服务的登录凭据,因此最好的策略是制作一个优先级列表,然后按照自己的方式进行操作。我建议以下几点:
密码/身份管理器:使用密码管理器可能是确保每个服务都有一个强大的、唯一的密码的最重要的方法,但这也会造成单点攻击。增加2FA弥补了这一潜在弱点。请注意,对于某些密码管理软件,2FA支持是付费选项。
Microsoft、b谷歌和Apple帐户:如果您使用这些主要平台公司的服务,则必须添加2FA支持。幸运的是,这也很容易。(参见上一节的详细说明链接。)
电子邮件帐户:如果一个坏人可以接管你的电子邮件帐户,他们通常会造成严重破坏,因为电子邮件消息是发送密码重置链接的标准方式。从受损的电子邮件帐户发送的信息也可以用来攻击你的朋友和同事(例如,通过发送恶意软件附件)。如果您使用Outlook.com、Exchange Online、Gmail或谷歌Workspace,则您的电子邮件帐户将使用与Microsoft帐户或谷歌帐户关联的身份验证方法。如果您使用不同的电子邮件服务,则需要单独设置2FA。
社交媒体账户:与电子邮件一样,Facebook或Instagram账户被黑的最大风险是,它会被用来对付你的朋友和同事。即使你是一个很少在社交媒体上发布任何内容的潜伏者,你也应该保护这些账户。
银行和金融机构:大多数银行和信用卡公司在后端欺诈检测程序上进行了大量投资,这就是为什么与其他类别相比,2FA选项通常是有限的。尽管如此,探索这些设置并尽可能地保护它们是值得的。
购物和在线商务:任何你保存了信用卡号的网站都应该是安全的。