什么是双因素身份验证 (2FA)?
关于组织的网络安全,越小心谨慎越好。网络安全威胁的数量和复杂度正在快速增长,据 Malwarebytes 报告,2019 年企业遭受的网络攻击增加了 13%。因此,许多公司都开始重新审视他们目前的信息安全措施。毕竟,有大量的个人、财务和机密信息保存在企业在线帐户中,而数据泄露经常会导致收入损失。对于大多数组织而言,有一个简单的步骤可以帮助全面改善员工的网络安全秩序:双因素身份验证 (2FA)。
双因素身份验证说明
什么是双因素身份验证?身份验证是验证用户身份以建立对电脑系统或在线帐户的访问的过程。身份验证有三个主要因素:知识因素(您知道的信息,例如密码或 PIN)、拥有因素(您拥有的物品,例如移动设备或身份证)和内在因素(您具备的特征,例如指纹或声音)。还有“位置因素”和“时间因素”,但这些不太常见。双因素身份验证仅仅意味着您的安全系统会使用其中的两个因素。
换而言之,双因素身份验证是密码或 PIN 码之上的第二重安全保护。如果您曾在使用密码登录后,被要求输入发送到您的移动设备上的数字验证码以证明您的身份,那么您对 2FA 已经很熟悉了。但是,通过文本获取验证码并不是唯一的双因素身份验证方法。还有很多选择,包括验证器应用、推送通知、软件令牌、基于语音的验证等等。但是,在大多数情况下,额外一层安全保护可能是短信验证码。
什么是验证器应用?
虽然您可能熟悉大多数类型的双因素身份验证,例如短信、基于语音的消息和推送通知,但您可能不太熟悉验证器应用。实际上,验证器应用相对比较简单。那么什么是验证器应用呢?本质上,它是一款手机应用,可以生成数字验证码,用于在登录网站或应用时验证身份。有很多不同的验证器应用可供选择,包括 Google Authenticator 应用、Duo Mobile 以及 Authenticator,所有这些应用的工作过程都大致相同。
验证器应用通常被认为是比接收短信验证码稍微安全一些的 2FA 形式。这是因为,从技术上讲,短信不是您拥有的物品,而是您接收的信息。因此,黑客有可能将您的手机号码移植到另一台设备上,从而欺骗您的运营商(这是一种称为“SIM 交换”的欺诈行为),虽然这种情况的可能性较小。假设攻击者已经获得您的密码,这将使他们可以访问您的帐户。相比之下,身份验证器应用的验证码很快就会过期(通常在 20 或 30 秒后),并且验证码完全保留在应用内。
2FA 如何工作?在系统上设置了双因素身份验证后(无论您使用的是验证器应用、推送通知还是短信),使用过程比较简单。以下是 2FA 使用过程的详细分步指南:
- 网站或应用提示用户登录。
- 用户输入其用户名和密码,满足第一个安全因素。
- 网站识别出用户后,系统会提示用户开始登录过程的第二步。在此阶段,用户需要证明自己具有满足第二安全因素(即“拥有”)的物品,例如身份证或智能手机。在大多数情况下,系统会向用户发送一次性安全密码,可用于确认用户身份。
- 最后,用户输入安全密钥,站点对其进行身份验证,然后会向其授予访问权限。
为什么要使用双因素身份验证?
关于网络安全,到目前为止,最常见的身份验证因素是用户名/密码组合。这意味着大多数系统仅使用单因素身份验证。尽管几十年来,密码一直是信息安全的必要标准,但出于以下几个原因,也许是时候彻底超越密码了。首先,密码比较容易破解。人类的记忆力往往很差,在许多情况下,我们选择的密码都很容易猜到:“password”、“12345”、“qwerty”等等。
还需要注意,人们现在拥有的在线帐户比刚开始使用密码时更多,这意味着通常有太多的密码需要记住。这可能导致“密码回收”,即多个帐户使用同一密码,使黑客更容易获得访问权限。考虑到网络犯罪和数据泄露事件(例如 2013 年的雅虎数据盗窃案,其中黑客窃取了 30 亿个帐户)日益增长,就很容易理解为什么密码可能不再是最安全的保护形式。
一些网站使用安全问题作为第二因素,而不是使用成熟的 2FA 方法。例如,您可能需要回答“您母亲的娘家姓是什么?”或“您童年养过的宠物叫什么名字?”之类的问题。然而,这种方法也有很多弱点。借助网络上如此丰富的个人信息,黑客通常能够猜测出这些相对基本的问题的答案。此外,需要注意的是,这种方法不是“真正的”2FA,因为安全问题只是第二个知识因素。您实质上是在用另一个密码来备份密码。从这个意义上讲,它更接近于两步验证 (2SV),这是一种不需要不同因素、只需多个步骤的身份验证形式。
关键要点:密码是最低级别的安全形式,这就是双因素身份验证日益成为企业的基本安全标准的原因。
超越双因素身份验证
如您所见,2FA 具备很多相关好处。但双因素身份验证并不是信息安全的终极保护方式。远远不是。毕竟,双因素身份验证并非万无一失。如果攻击者想要访问您的电脑系统,可以在本地进行实物搜索找到员工 ID 或员工丢弃的包含密码的存储设备。此外,黑客可以通过网络钓鱼电子邮件拦截短信,从而有可能使他们绕过第二个身份验证因素。最终,2FA 的强度取决于安全过程中最薄弱的因素。
还有什么其他原因呢?2FA 只是一个更大概念的子集,这个更大概念就是多因素身份验证 (MFA)。从理论上讲,可以有三因素身份验证、四因素身份验证、五因素身份验证等等,因素数量永无止境。尽管普通用户不太可能使用除双因素身份验证之外的任何方式,但是在高安全性环境中工作的人可能会被要求使用三因素身份验证 (3FA) 之类的方式,这通常涉及使用内在因素,例如指纹扫描或虹膜扫描。
通过双因素身份验证保护文件安全
保护企业文件和内容的重要性不可低估。据估计,到 2021 年,全球网络犯罪损失每年将达到约 6 万亿美元。与网络犯罪相关的损失包括数据遭到破坏/滥用、资金被盗、攻击造成业务中断、知识产权被盗和生产力损失。但是您还需要考虑与恢复被黑客入侵的数据/系统、调查分析和声誉损害相关的潜在损失。随着威胁变得越来越复杂,世界各地都将双因素身份验证作为标准,企业不会冒险让自己容易受到掠夺性黑客的攻击。这就像因为汽车上有安全气囊而不系安全带一样。从技术上讲,您是受到了保护,但是受保护的程度远远不够。
如何通过 Dropbox 实施 2FA
显然,启用双因素身份验证可以为企业带来显著好处,但是在整个公司中实施 2FA 的过程可能会有些艰难。幸运的是,这不必那么困难。Dropbox 提供双因素身份验证。如果您启用 2FA,Dropbox 将在您登录帐户或连接新的平板电脑、计算机或手机时要求您和您的团队提供第二种身份验证形式(例如,六位数的密码或安全密钥)。此外,Dropbox 提供了许多密码保护功能,可以帮助您保护和控制企业的敏感信息,同时您还可以为共享链接设置到期日以及使用密码保护 PDF 和文件夹。
您还可以使用 Dropbox 实施其他网络安全措施,以帮助更有效地保护文件。Dropbox 的云安全是双因素身份验证的理想补充。简而言之,云数据保护是 Dropbox 的第一要务。通过跨分布式云基础设施的多层保护,您可以确保为所有在线文件提供相同级别的保护。此外,Dropbox 的企业级加密云存储可帮助您符合大多数全球监管标准的要求。
结语
双因素身份验证可以为企业的在线文件提供额外的安全保护,使您的敏感数据不受潜在网络威胁的影响。
