在日常生活中我們經(jīng)常會(huì)聽(tīng)到“世界上沒(méi)有一個(gè)人值得相信”這樣的話。這是在人際關(guān)系中對(duì)對(duì)方感到失望或被對(duì)方意外傷害時(shí)所使用的表達(dá)方式,。不僅在現(xiàn)實(shí)世界中,，在網(wǎng)絡(luò)安全方面也有類似的表達(dá)方式——這就是“零信任”模式?！傲阈湃巍鄙踔敛恍湃问褂觅~號(hào)和密碼訪問(wèn)的用戶,，而只信任嚴(yán)格的身份驗(yàn)證并通過(guò)它授予適當(dāng)?shù)臋?quán)限。

　　何為“零信任”

　　“零信任”代表了新一代的網(wǎng)絡(luò)安全防護(hù)理念,，它的關(guān)鍵在于打破默認(rèn)的“信任”,。用一句通俗的話來(lái)概括，就是“持續(xù)驗(yàn)證,，永不信任”,。默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外的任何人、任何設(shè)備和任何系統(tǒng),，基于身份認(rèn)證和授權(quán)重新構(gòu)建訪問(wèn)控制的信任基礎(chǔ),，從而確保身份可信、設(shè)備可信,、應(yīng)用可信和鏈路可信,?；诹阈湃卧瓌t，可以保障辦公系統(tǒng)的三個(gè)“安全”：即終端安全,、鏈路安全和訪問(wèn)控制安全,。

　　零信任聽(tīng)上去很“高大上”、很“專業(yè)”的樣子,，其實(shí)零信任在日常生活中隨處可見(jiàn),。其中，為賬號(hào)設(shè)置“雙重認(rèn)證”或“多重認(rèn)證”就是零信任最常見(jiàn)的一種應(yīng)用,。

　　設(shè)置多重認(rèn)證的必要性

　　如今,，隨著以數(shù)字為中心的工作環(huán)境的逐漸建立，企業(yè)高管和員工的大部分工作都在云計(jì)算等數(shù)字環(huán)境中進(jìn)行,。特別是新型冠狀病毒擴(kuò)散后,，在非接觸環(huán)境下遠(yuǎn)程辦公變得越來(lái)越普遍。過(guò)去,，企業(yè)業(yè)務(wù)主要在內(nèi)部網(wǎng)絡(luò)進(jìn)行,，因此安全重點(diǎn)是阻止從外部侵入的攻擊者。但是,，在當(dāng)今的工作環(huán)境下,，很多企圖從企業(yè)網(wǎng)絡(luò)外部的訪問(wèn)也是為了業(yè)務(wù)工作,，因此安全工作必須正確區(qū)分惡意攻擊和正常訪問(wèn),。

　　授予用戶訪問(wèn)系統(tǒng)權(quán)限的最基本方法是賬號(hào)。用戶可以使用用戶名和密碼登錄系統(tǒng),，并使用所需的程序或數(shù)據(jù),。問(wèn)題是在此過(guò)程中，有可能使用被盜的憑證（賬號(hào)和密碼）,。所謂憑證被盜,，是指賬號(hào)和密碼等被泄露，并被他人惡意利用的狀態(tài),。特別是,，即使不是直接從相關(guān)企業(yè)泄露，在其他網(wǎng)站上使用的憑證被重復(fù)使用或使用易于猜測(cè)的密碼時(shí),，憑證也可能會(huì)被盜,。

　　這樣的事情不僅發(fā)生在企業(yè)，也經(jīng)常發(fā)生在個(gè)人用戶身上,。這是一種安全事件,，通常用“賬號(hào)被黑”來(lái)形容。

　　今年8月底,，美國(guó)洛杉磯一名男子冒充蘋果職員,，通過(guò)釣魚的方式騙取用戶蘋果賬號(hào)信息,，并訪問(wèn)用戶的蘋果iCloud賬戶，導(dǎo)致62萬(wàn)張照片和9000多個(gè)視頻泄漏,。其中,，包括大量裸照和私生活視頻等。據(jù)美國(guó)聯(lián)邦調(diào)查局（FBI）透露,，攻擊者利用“蘋果備份iCloud（Applebackupiccloud）”或“備份經(jīng)紀(jì)人iCloud（backupagenticcloud）”等電子郵件地址發(fā)送虛假變更登錄信息的電子郵件,，并誘導(dǎo)被釣魚欺騙的用戶輸入自己的賬號(hào)信息。據(jù)悉,，約有4700多名受害者使用自己的賬號(hào)和密碼回復(fù)了電子郵件,，其中至少有306人的賬號(hào)確認(rèn)被訪問(wèn)。

　?。▓D片來(lái)源：韓國(guó)安全新聞網(wǎng)站）

　　如果用戶的登錄憑證被網(wǎng)絡(luò)攻擊者發(fā)現(xiàn),，將會(huì)引發(fā)嚴(yán)重的后果。實(shí)際上,，在“暗網(wǎng)”中,，從購(gòu)物中心、網(wǎng)絡(luò)游戲網(wǎng)站,、企業(yè)郵箱等眾多互聯(lián)網(wǎng)服務(wù)中泄露的用戶賬號(hào)和密碼正在被交易,。 攻擊者不僅將這些獲得的賬號(hào)和密碼輸入相關(guān)服務(wù)，還會(huì)輸入多種服務(wù),，從而找到有效的賬戶信息,。

　　也許您會(huì)說(shuō)，給所有賬號(hào)設(shè)置不同的密碼不就行了嗎,？但在實(shí)際生活中這種方法可操作性不強(qiáng),。如今，在設(shè)置密碼時(shí),，通常要求我們至少包含 6個(gè)字符,、大小寫字母、數(shù)字和特殊字符,，并且我們應(yīng)該至少每月更改一次密碼才算安全,。為此，如果您想長(zhǎng)期使用該服務(wù),，經(jīng)常會(huì)遇到多次密碼輸入錯(cuò)誤的情況,，最終只能通過(guò)“找密碼”功能重置密碼后登錄。這給用戶帶來(lái)了極大的不便,。

　　因此,，與其簡(jiǎn)單地使密碼復(fù)雜多樣化，使用雙重認(rèn)證或多重認(rèn)證（MFA：Multi Factor Authentication）則更加的安全便利,。如果說(shuō)賬號(hào)和密碼是一重認(rèn)證,，那么除了這個(gè)方法以外,，利用附加方式對(duì)用戶身份再次進(jìn)行驗(yàn)證也可以稱為雙重認(rèn)證。雙重認(rèn)證的方式有很多,，可以使用ARS,、安全卡、一次性密碼（OTP）,、電子郵件,、短信和應(yīng)用程序等等。例如,，在登錄賬號(hào)時(shí),，一次性密碼會(huì)發(fā)送到用戶預(yù)先注冊(cè)的智能手機(jī)或電子郵箱中，用戶必須一起輸入才能最終登錄,；使用智能手機(jī)某應(yīng)用程序時(shí)進(jìn)行指紋或拍攝二維碼等認(rèn)證方式登錄等,。

　　身份認(rèn)證的種類和特點(diǎn)

　　身份認(rèn)證的種類大致可分為基于知識(shí)的認(rèn)證、基于所有權(quán)的認(rèn)證,、基于屬性的認(rèn)證,、基于行為的認(rèn)證以及基于使用地點(diǎn)的認(rèn)證等。

　?。▓D片來(lái)源：韓國(guó)安全新聞網(wǎng)站）

　　基于知識(shí)的認(rèn)證（What I know）是目前最為普遍的一種認(rèn)證方式,，我們經(jīng)常使用的賬號(hào)和密碼就屬于該認(rèn)證方式，修改賬號(hào)信息時(shí)設(shè)置的“小時(shí)候養(yǎng)的小狗的名字”等問(wèn)題也屬于基于知識(shí)的認(rèn)證,。

　　基于所有權(quán)的認(rèn)證（What Ihave）包括用戶擁有的一次性密碼,、智能手機(jī)、安全卡,、安全令牌等,，如今智能手機(jī)和專用應(yīng)用程序（PASS等私有認(rèn)證書）已被普遍使用,。

　　基于屬性的認(rèn)證（What Iam）是一種通過(guò)指紋或虹膜等人的獨(dú)特特征進(jìn)行身份認(rèn)證的方式,，一般與其他認(rèn)證方式一起結(jié)合使用。

　　基于行為的認(rèn)證（What Ido）是指通過(guò)某個(gè)人的重復(fù)動(dòng)作或使用設(shè)備的方式等進(jìn)行認(rèn)證,，如手寫簽名等多種方式正在被研究和驗(yàn)證,。

　　基于使用地點(diǎn)的認(rèn)證（Where you are）是指當(dāng)自己擁有的設(shè)備連接到特定網(wǎng)絡(luò)時(shí)才能得到認(rèn)證的方式。例如,，當(dāng)智能手機(jī)連接到家里使用的路由器時(shí),，無(wú)需解鎖屏幕即可立即使用；在監(jiān)獄,、保密部門等特殊場(chǎng)所要想使用GPS或移動(dòng)通信時(shí),，只有在特定地點(diǎn)才能訪問(wèn)系統(tǒng)等。

　　這些身份認(rèn)證方式一般被綜合使用,，特別是在具有生物識(shí)別功能的智能手機(jī)普及的今天,，這種趨勢(shì)正在進(jìn)一步擴(kuò)大,。例如，如果您想使用賬號(hào)和密碼登錄網(wǎng)站,，就會(huì)通過(guò)安裝在智能手機(jī)上的專用應(yīng)用程序發(fā)送相關(guān)認(rèn)證批準(zhǔn)信息,。在此過(guò)程中，已經(jīng)使用了基于知識(shí)的認(rèn)證和基于所有權(quán)的認(rèn)證,。特別是,，如果為了執(zhí)行認(rèn)證用應(yīng)用程序，在解鎖智能手機(jī)或解鎖應(yīng)用程序時(shí)使用了指紋識(shí)別,，就等于增加了基于屬性的認(rèn)證,。

　　像這樣，隨著身份認(rèn)證使用的要素類型和步驟越來(lái)越多,，通過(guò)簡(jiǎn)單的密碼泄露來(lái)竊取賬號(hào)就會(huì)變得越來(lái)越困難,。例如，即使網(wǎng)絡(luò)攻擊者意外獲得了用戶的賬號(hào)和密碼,，如果沒(méi)有用戶智能手機(jī)也無(wú)法執(zhí)行身份驗(yàn)證應(yīng)用程序,；即使智能手機(jī)被盜，也無(wú)法通過(guò)指紋解鎖（基于屬性的認(rèn)證）,。因此,，即使您的憑證被盜，也可以保護(hù)您的賬號(hào)和信息安全,。

　　結(jié)語(yǔ)

　　就像前面所提到的那樣,，日常生活中我們經(jīng)常聽(tīng)說(shuō)或親身經(jīng)歷過(guò)“賬號(hào)被黑”的事情。例如某人銀行賬戶里的上百萬(wàn)資金不翼而飛,；有人擅自修改了您的QQ密碼,；我們有時(shí)會(huì)收到有人在異地試圖登錄您的電子郵箱或銀行賬號(hào)的警告通知等。特別是隨著新型冠狀病毒疫情的擴(kuò)散,，數(shù)字服務(wù)的使用量激增,，賬號(hào)信息泄露的風(fēng)險(xiǎn)正在增加。

　　那么我們?cè)撊绾胃玫乇Ｗo(hù)我們的賬號(hào)安全呢,？預(yù)防賬號(hào)被黑,，請(qǐng)從設(shè)置多重認(rèn)證開(kāi)始！

　　我們使用的電子郵箱和銀行賬戶等主要服務(wù)都支持多重認(rèn)證功能,。在自己的賬號(hào)設(shè)置中一旦啟用多重認(rèn)證,，他人就無(wú)法輕易進(jìn)行非法登錄。并且如果發(fā)生有人試圖非法登錄賬戶時(shí),，系統(tǒng)就會(huì)告知用戶,，以便用戶可以及時(shí)更改密碼等采取安全措施。大部分服務(wù)在登錄后可以在賬戶設(shè)置項(xiàng)目中找到“安全設(shè)置”或“安全”等菜單,，進(jìn)行多重認(rèn)證的相關(guān)設(shè)置,。如果您沒(méi)有設(shè)置,，建議現(xiàn)在就設(shè)置。