身份安全 | 静态密码在不法攻击下犹如鸡蛋碰石头，不堪一击！

用户认证是所有公司安全战略的重要部分，确保仅仅是授权用户才能访问有价值的数据和资源。在用户名和密码之外，越来越多的企业开始使用额外的认证方法，来确认用户的身份。

以我们日常生活中的场景举个例子，当你回到家门口，拿出钥匙即可将锁打开。然而门锁唯一关心的就是钥匙是否适合，并不在乎钥匙在谁的手上。换句话，也就是说，甚至是一个小偷，只要拿着钥匙，都能悄无声息地将门打开。

那么我们换个思路，如果开门不仅需要使用钥匙，还需要使用指纹传感器识别指纹，或者使用摄像头设别人脸？那么即钥匙被其他人拿到，但是无法识别指纹或人脸，最终仍然还是无法开门。

同理，在企业中，因为员工使用的静态密码安全等级太低，很容易被内部恶意人员或黑客猜到、破解，从而引发信息泄漏事件。目前，使用用户名+密码的方式登录各类办公及业务应用（如OA、CRM、VPN、EMAIL等）的企业不在少数，而且存在大部分员工会使用重复密码、弱密码等情况。

而静态密码在不法攻击下犹如鸡蛋在石头面前，不堪一击。

暴力破解：也被称为穷举法或枚举法，一般通过枚举，将密码进行逐个尝试，直到找出正确的密码。而运用脚本程序语言，如使用Python，则可以极大地提高破解效率。

撞库：通过收集已泄漏的用户和密码信息，生成对应字典表，尝试批量登录其他网站后，得到一系列可以登录的用户信息。因为复用密码的现象非常普遍，不法攻击者可以通过获取的个人账户尝试登录员工的工作账户，从而窃取企业信息。

无线入侵：通过伪造无线热点、伪造热点注册页面窃取用户账号密码信息，或进入企业无线网络，进而掌握员工个人信息，然后利用这些信息登录企业账户、窃取信息。

社会工程学：利用企业员工的善良、信任、好奇心、贪婪等人性特点，通过人际交流的方式，用欺骗等手段使其心理受到影响，从而透露一些机密信息，然后冒用员工身份登录并窃取信息。

当然，不法攻击者的攻击手段还有很多，有些手段甚至更加“高大上”。不过，有调查表明，超过80%的黑客入侵事件，都是利用了被盗口令或弱口令。目前，身份窃取已经成为黑客主要的攻击点。

那么，用技术手段进行软件升级、硬件加固、严防死守就能确保网络安全了吗？

别忘了，使用软、硬件的，其实还是企业员工，而人恰恰是网络安全最薄弱的环节。目前已发生的企业信息泄露时间中，主要原因是员工疏忽、内鬼泄露。

对企业来讲，有必要用技术手段全面提升账户安全，把人的因素放到企业安全管理策略中，在各内部系统使用多因素身份认证（MFA）。

通过增加至少1个除口令之外的验证因子到身份验证过程，多因素身份认证（MFA）解决方案可以更好地保护用户凭证并简化口令管理。这些额外的验证因子可以是你拥有的东西，比如令牌；或者你具备的东西，比如指纹或人脸；还可以是某些只有你才知道的东西，比如PIN码。

简单地讲，在应用多因素身份认证后，员工登录内部系统时，需要提供除了账户密码以外的信息。

MFA通常使用以下几种因素的组合：

你所知道的东西：主要是用户名+密码。

你拥有的东西：比如短信验证码、RSA等硬件设备、手机软令牌，等等。

你本身：比如指纹、人脸、声纹等生物特征。

当然，网络安全行业的一个共识是：没有一种身份识别技术是万能的。单独来看，这三种因素中的任何一种都有各自的安全风险。比如你所知道的东西可以被猜出、分享，你拥有的东西可以丢失、被盗走；你本身的生物特征也能用低成本方式收集、伪造和复制。

单独使用一种方式固然不足以满足企业对信息安全的需求，但当它们结合起来时，却能本质提升安全等级。这就相当于开门时需要钥匙+能够识别主人身份的摄像头或指纹识别传感器。

当用户试图登录账户时，在完成账户密码的输入之后，系统会要求用户再完成另一种因素的身份验证，比如指纹、人脸识别，或者OTP动态口令，等等。

在这种情况下，因为访问权不取决于密码强度，即使黑客窃取用户的密码，在登录过程中仍然无法绕过二次强身份认证，也就无法登录账户。

目前人脸识别、指纹识别、OTP动态口令等身份识别技术已相对比较成熟，且在身份认证中得到了广泛的应用，企业可以根据安全场景的不同，指定相应的登录验证方式，从而建立起一个多层次的防御系统，使未经授权的人访问企业的应用、系统或网络更加困难。

文章