首页 > 经验 > 关键词 > securitykeys最新资讯 > 正文

这类便宜的USB设备,或许是对付账户劫持的最好方法

2016-12-29 17:46 · 稿源:雷锋网

过去五年以来,发生了一系列备受瞩目的账户挟持事件。网络安全专家群体中逐渐形成了一个共识:即使是随机产生的冗长密码也不能百分之百保证电子邮件以及其他的网上资产的安全。基于这个共识,网络安全专家们认为这些网上资产需要第二层身份验证来提供额外的保障。

一个为期两年,有超过50,000名谷歌员工参与的研究结果表明,以密码学为基础制造的实体安全密匙在安全性上超越了以移动电话为代表的其他双重验证方案。

这些实体安全密匙是以Universal Second Factor (U2F)技术为基础。U2F是一种能够同时满足终端用户易用性和软件工程师易嵌入性要求的开源标准。当被插入标准USB接口的时候,实体密匙提供一种基本不可能被袭击者猜中或者毁坏的加密声明。账户可以在普通用户密码之外,要求用户在登录的时候提供这样的密码钥匙。Google, Dropbox, GitHub和其他一些网站已经在他们的平台上实施了U2F的标准。

经过超过两年的公开推行和内部调研,Google的安全架构师宣布实体安全密匙成为他们首选的双重身份验证方案。架构师们的评估是基于几个关键因素,包括使用和部署密匙的便捷性,应对身份仿冒及其他形式的密码袭击时所提供的安全性,和其他双重身份验证所不具备的、针对个人隐私更强的保密性。

在一份最近发表的报告中,研究人员写到:

我们已经在Chrome浏览器中添加了支持实体密匙的功能,并将其使用在Google内部的登录系统中,同时在Google的Web服务中使实体密匙成为可使用的第二重身份验证方式之一。在这篇报告中,我们展示了实体密匙在降低保障成本之余,提供了更强的安全性能和更好的用户体验满意度。

其他的双重身份验证形式包括使用移动电话的短信功能收取一次性的密码,或者使用智能手机来生成类似的一次性密码。在登录时,用户需要提供这个额外的密码。第二种形式使用的是同样可以提供加密声明的智能卡。第三种形式使用的是基于网络传输层安全协议的数字证书,使用保密密匙来验证终端用户在登录一个服务或者账号时的身份。

使用电话来做双重身份验证存在各种问题。其一,一次性的密码经常会被网络钓鱼攻击,攻击所使用的方法与欺骗用户透露普通密码的方法是相同的。同时,使用智能手机需要面对恶意软件的威胁,这会危害到一次性密码的保密性。使用电话短信收取一次性密码的形式是特别危险的,因为除了以上提到的风险之外,短信被拦截接收的危险也是存在的。我们无法保证电话永远都有信号,同时电话有可能耗光电量,这样限制条件会导致电话在用户需要登录的时候无法使用。

根据Google研究人员的报告,智能卡也会存在问题,因为智能卡的使用通常会要求在任何用户可能用来登陆的电脑上安装特制的读卡器和驱动程序。这使智能卡在大规模设备上的使用变得尤为困难。除此以外,在一些国家,这样的智能卡是需要由政府来提供。这样的情况让人不免担心智能卡可能会被用来追踪用户的网上使用行为。

使用安全传输层协议(TLS)证书来验证用户身份的形式多年以来都作为一个选项存在,但它们从来没能变的流行起来。研究人员提到,这有可能是因为证书的生成对于普通用户来讲是十分困难的。同时,使用TLS证书有很大机会造成用户身份的泄漏。TLS验证证书会向任何网络上的敌人透露用户的身份。此外,证书是不可移植的,这让普通用户很难在多个设备上使用它。

对比其他的选择,实体安全密匙提供了安全性、易用性和私密性的最佳组合。虽然一些流行品牌的密匙产品售价为18美元,比如Yubico生产的U2F密匙,普通密匙的售价基本低至10美元。这些密匙体积比门锁钥匙还要小,可以很便捷的插入电脑的USB接口,同时不需要电池。

当美国总统候选人希拉里克林顿的竞选主席的Gmail账户被以简单的仿冒手段攻破之后,越来越多的人意识到了双重身份验证的重要性。虽然有很多不同的形式来实现双重身份验证,研究报告中以令人信服的案例说明了基于U2F标准的实体密匙是最好的选择。

Via: Arstechnica

小编,。

  • 相关推荐
  • 大家在看
  • 腾讯游戏回应人脸识别验证问题:用户身份不会被记录

    6月17日,腾讯游戏宣布,经过多次灰度测试、技术调优后,正式升级未成年人保护措施:在对已实名未成年人“限玩、限充、宵禁”基础上,专门针对“孩子冒用家长身份信息绕过监管”的问题,扩大人脸识别技术应用范围,对疑似未成年人的用户进行甄别,后续将在运营的全部手游产品中生效。

  • 维护网络安全 狼人杀强力反赌博

    网络赌博等顽疾,是互联网行业发展的重要潜在风险。为了让陌生人社交乃至整个互联网行业能够向阳而生,狼人杀认为必须正视这个问题,科学部署平台监管。作为一个社交软件,狼人杀在发布后就获得了大量的流量,有千万用户活跃在这个社交平台上与他人交流、聚会和娱乐。在陌生人社交方面取得了辉煌的成就,狼人杀对一些想利用平台进行不法操作的人高度警惕,用大数据技术以及不断增加风控人员向这些不法行为宣战,创造一个强大的自我监管系统

  • 谁是狼人维护网络安全 警惕赌博隐患

    谁是狼人在当前泛娱乐和陌生人社交的状态下,凭借着对于目标用户的心理洞察能力,再加上团队所拥有的产品创新力,在上线不久之后就已经得到很多人的关注。谁是狼人凭借着可观的用户流量,已经成为当前的一大关键平台,与此同时也一直都在防范风险,不断升级监管机制提高净化能力。其双管齐下形成的自我监督系统,对赌博等敏感信息实现了精密识别,早已成为目前互联网社交的一大关键系统。谁是狼人直接就携数美科技,还有阿里云,早就在平台内

  • 聚焦网络安全-通付盾身体力行保障网民安全

    两会代表“聚焦”——通付盾安全防御守护者今年, 倍受社会各界关注的全国 “两会”成功闭幕。作为当下热点话题之一的 个人信息保护, 也再次得到了各位代表的高度关注。大会期间 , 来自网络信息安全领域的政协委员和人大代表纷纷建言献策 , 对个人信息和网络安全发表看法。通付盾力求更加科学、更加规范、更加全面的展现当前我国网络安全产业的发展状况和企业能力。通付盾移动App安全合规检测服务,结合网络安全相关国家标准(如工?

  • 360周鸿祎:新基建时代网络安全是底座

    【TechWeb】6月23日消息,第四届世界智能大会今天开幕,360集团董事长兼CEO周鸿祎出席大会,并发表《新基建需要同步建设安全基建》的主题演讲。周鸿祎认为新基建的本质是数字化基建,整个世界充分数字化后,将出现“软件定义世界、万物皆可互联、数据驱动一切”的特点。当一切都建立在软件上,如果网络安全得不到保障,新基建将是“裸奔”。当虚拟世界和物理世界打通,所有虚拟世界的攻击都会导致物理世界的伤害。在周鸿祎看来,?

  • 周鸿祎:没通过网络安全挣钱 想把公司打造为国之重器

    6月21日,据媒体报道,在bilibili Rebuild2020的对话中,360董事长周鸿祎谈到漏洞不可避免的原因,并想让360成为一个伟大的公司,不担心未来挣不到钱。周鸿祎指出,当年杀毒软件免费就是因为互

  • 华为在多家英国报纸买下广告 回击5G网络安全担忧

    6月9日消息,据国外媒体报道,华为日前在多家英国报纸买下了整版广告,以回击对于华为在该国参与5G网络建设的担忧。华为这一广告出现在许多英国大报上,包括《卫报》、《每日电讯报》、《每日邮报》等等。如图所示,在“我们对你们的承诺”公开信中,华为表示,近20年来,我们为英国的移动和宽带公司提供了3G、4G网络,但是现在有一些人质疑我们在帮助英国引领5G部署方面所扮演的角色。华为高级副总裁Victor Zhang表示

  • 长亭科技杨坤:全球网络安全领导者评选唯一个人获奖者

    6 月 16 日,全球领先的组织评价机构Business Intelligence Group公布了其 2020 年Fortress Cyber Security Awards榜单,McAfee、F5、Darktrace、Shape Security等世界知名安全公司赫然在列。长亭科技联合创始人兼首席安全研究员杨坤,以榜单中唯一个人姿态荣膺Leadership提名。Business Intelligence Group的提名推荐者 Maria Jimenez评价道:“杨坤正在为应对日益严峻的网络安全威胁持续付出努力。” 2020 年度榜单共表彰了 41

  • 通付盾入选中国网络安全行业全景图

    3 月 31 日,安全牛正式发布《中国网络安全行业全景图( 2020 年 3 月第七版)》。通付盾凭借身份与访问安全、业务安全(业务反欺诈)、终端检测与响应、移动安全、移动终端管理、区块链安全等六大领域处于行业领先地位,强势入围。中国网络安全行业全景图作为国内网络安全权威机构,安全牛已在四年间发布了 6 个版本的网络安全行业全景图,而最新的第七版更是意义非凡,结合甲方CISO的需求痛点和网络安全市场的趋势热点,站在业务

  • 快手京东的双重补贴,让老铁们双击666了吗?

    继董明珠、华少、丁磊之后,常在娱乐话题中心“乘风破浪”的张雨绮也来到了快手的直播间。昨晚,作为快手电商代言人的张雨绮开启了直播首秀,快手主播辛巴作为搭档一同出现在了直播间中。这场直播最终在 4 小时里获得了2. 23 亿的总支付金额,直播中,张雨绮共卖出2. 25 万台iPhone。

  • Epic怎么验证本地游戏文件

    在电脑上如果安装了一些游戏,想要让Epic检测扫描到,需要进行什么样的操作,才可以让本地的游戏被发现呢,这里我们来看下Epic平台上本地游戏被扫描到的具体方法。

  • 360 董事长周鸿祎:网络安全人才缺口大,未来行业挑战会加剧

    今日在极客公园与哔哩哔哩联合举办的Rebuild2020 科技全明星峰会上, 360 董事长兼 CEO 周鸿祎表示,中国的白帽黑客群体至少有超过 100 万人,但是这个人数依然不够。目前来看,中国在网络安全人才的缺口上是巨大的。「未来网络安全的挑战并没有随着我们技术的进步而减小,随着国家技术的发展,网络安全在里面扮演的角色和发挥的作用只会越来越大,但对我们这个行业的压力和挑战也会越来越大。」

  • 兰云科技态势感知平台助力北京大兴国际机场网络安全稳定运行

    项目背景:北京大兴国际机场是国家重大的标志性工程,是国家发展的新动力源。这座外观宛如金色凤凰的机场是中国民航建设平安机场、绿色机场、智慧机场、人文机场的标杆和样板,是世界最大机场之一。2019 年 9 月 25 日,北京大兴国际机场正式投运,迎来“凤凰于飞”的高光时刻,由北京兰云科技有限公司(以下简称:兰云科技)联合中国电信集团系统集成有限公司(以下简称:电信集成)联合打造的安全态势感知平台也在多次调试确保无

  • 中国互联网协会:网络游戏运营企业应强化防沉迷实名验证

    昨日晚间,中国互联网协会发布《防范未成年人沉迷网络倡议书》。中国互联网协会称,近年来,因未成年人沉迷网络引起的社会矛盾凸显,引发社会普遍关注。为展现社会主流价值观,营造积极向上的网络文化环境,切实保护未成年人身心健康、防范网络沉迷

  • 长亭科技入选江苏省“网安2020”网络安全保障行动检查服务机构名单

    近日,由江苏省委网信办主办,苏州市委网信办、国家计算机网络与信息安全管理中心江苏分中心承办的“网安2020”网络安全保障系列行动,在苏州正式启动,会上同时对 “网安2020”行动授权检查服务机构的 25 家网络安全公司进行了授牌。长亭科技凭借自身全面的网络安全防护解决方案和创新产品,成功入选。 在当前产业数字化、数字产业化赋予的机遇下,5G、物联网、工业互联网等新型基础设施建设进程正在飞速发展,在带来经济技术突?

  • 微信怎么彻底删除某个人的聊天记录?给你的隐私开启“双重保护”!

    微信怎么彻底删除某个人的聊天记录?才能不被任何第三方再次恢复!其实我们都知道,目前手机上删除聊天记录后,通过一些专业技术,是可以将我们删除的这部分聊天记录恢复出来。那么针对我们一些删除后的聊天记录,不想再被某个第三方看到,有没有什么永久删除的好方法呢?今天小编就为大家做一一分享。方法一:使用微信自带的工具来删除微信怎么彻底删除某个人的聊天记录?具体操作步骤:可以打开手机微信我,设置,通用,微信存储空间,

  • 精灵之泉引领社交+私域直播,双重模式助力“云摆摊”创业

    每一个领域的快速发展都少不了周围的环境的稳步发展,顺应时势的趋势就能发光发热,相反则难有作为,社交电商之所以能够能够迅速发展,少不了5G移动互联网的推进和疫情请柬用户看直播网络购物习惯培养。作为 1 个直播+CPX的创新型社交电商服务平台,精灵之泉响应国家号召推出“全民云摆摊计划”。目前社交电商的市场现状是:平台比比皆是,但出色和盈利者微乎其微,但精灵之泉就是社交直播匹黑马。那么,精灵之泉到底是什么?有啥核?

  • “幸福双重奏”百家号社会领域排行,新作者选择哪个领域好?

    备注:本文数据来自站长之家移动传媒平台,文章涉及的数据依托平台大数据计算所得,非百度官方数据,仅供参考。幸福双重奏是当前百家号中的普通号,目前账号百家号权重为1,综合排名位列966770名,社会分类排名位列108673名,领先了13.5%的百家号。 幸福双重奏百家号概况 幸福双重奏的简介为分享四季健康与养生资讯,是一家主旨明确、领域专注的自媒体作者,截止目前为止他们已经在百家号上发布了超过0篇的游戏内容,最近该作者创?

  • epic登陆验证图片显示不出来怎么解决

    Epic平台上出现了登陆时图片验证显示不了,显示不出来的情况,这是怎么回事,要如何让图片显示出来登陆账号呢,这里我们来教大家处理这个经常容易出现的问题。

  • 小米有品众筹自动猫砂盆:双重密封除臭 从此再不用铲屎

    6月18日消息,小米有品众筹上架了一款CATLINK全自动猫砂盆青春版,主打三重安全保护、13L集便仓、双重密封除臭。原价1699元,众筹价999元。整机三围长60cm、宽58cm,高71cm,采用分离式设计,

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天