使用一次性密碼(OTP)作為身份驗證的第二個因素的驗證方法越來越普及,但是一些安全專家警告說����,如果這些密碼沒有得到良好部署,可能會讓企業(yè)比完全沒有使用一次性密碼的企業(yè)更加不安全�����,一些批評家將Facebook部署一次性密碼作為典型的例子���。
公司主營業(yè)務(wù):網(wǎng)站設(shè)計��、成都網(wǎng)站設(shè)計����、移動網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳�����,提高企業(yè)的競爭能力����。創(chuàng)新互聯(lián)是一支青春激揚、勤奮敬業(yè)�����、活力青春激揚�、勤奮敬業(yè)、活力澎湃��、和諧高效的團隊�。公司秉承以“開放、自由��、嚴(yán)謹(jǐn)�����、自律”為核心的企業(yè)文化,感謝他們對我們的高要求��,感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)�,讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)推出響水免費做網(wǎng)站回饋大家����。
Facebook近日向用戶宣布,現(xiàn)在他們可以使用移動電話來通過短信接收一次性密碼���,可以使用一次性密碼在20分鐘中內(nèi)登錄他們的帳戶�����,用戶可以在他們不信任的計算機上考慮使用這種密碼登錄。
“可以說�,F(xiàn)acebook的這個方法讓用戶的帳號更加不安全了。如果你離開你的電腦或者當(dāng)?shù)卿浀紽acebook時����,沒有鎖上你的手機,其他人就可以訪問你的帳戶����,并且將手機更改為其他手機來控制��,”Sophos公司的高級安全顧問Chet Wisniewski表示��,他還補充道����,大部分人的手機都沒有啟用密碼保護��,而手機又非常容易丟失��?�!艾F(xiàn)在我們可以隨時隨地遠程訪問網(wǎng)絡(luò)��,F(xiàn)acebook認為這個功能可以為在圖書館���、網(wǎng)吧和機場的用戶提供‘安全’的方式來登錄帳戶�,而不會讓你的信息暴露給可能安裝在這些計算機上的惡意軟件�����。”
根據(jù)RSA公司的產(chǎn)品營銷經(jīng)理Rachael Stockton表示�,并不是所有的一次性密碼都是以相同方法創(chuàng)建的。
“有的方法比其他方法更加安全�。短信比其他驗證方法更加容易被破解,”她表示��,“硬件和軟件一次性密碼一般都被認為比短信傳動的一次性密碼更加安全��,但是這些驗證方法都應(yīng)該作為安全保護分層方法的一部分���,包括基于風(fēng)險的身份驗證等����?!?/p>
當(dāng)你在選擇適合的方法時,Stockton建議決策要點應(yīng)該放在必要的安全水平�����、需要保護的信息的價值�����、便于最終用戶使用以及一次性密碼形成因素的成本等����。
部署一次性密碼的企業(yè)應(yīng)該考慮提供一個以上的OTP形成因素,她表示���,“當(dāng)企業(yè)為不同的用戶群部署一次性密碼時����,他們需要考慮提供多種選擇的身份驗證形式和方法�,畢竟不同用戶群要求各不相同,”Stockton表示��,“短信獲取密碼可能對于某些用戶很便利��,但對于那些手機經(jīng)常不在身邊的人就不便利了����。此外,他們還需要考慮現(xiàn)在和將來��,他們所需要支持的大量應(yīng)用程序��,并且確保他們的解決方案能夠整合所有這些應(yīng)用程序���?!?/p>
同時,不管選擇的是哪種一次性密碼或者企業(yè)的規(guī)模有多大����,一次性密碼都只是確保機器和帳戶安全的保護生態(tài)系統(tǒng)的一部分,而不是全部�����。
“最后�����,不管公司是向大型還是小型企業(yè)部署一次性密碼��,他們都需要部署擁有強大管理控制能力的系統(tǒng)�����,考慮到配置����、管理、報告和審計這些重要業(yè)務(wù)資產(chǎn)的重要性�����,”Stockton表示。
Sophos公司的Wisniewski認為���,一次性密碼應(yīng)該能夠在更好的身份驗證發(fā)展方面發(fā)揮重要的作用,但與此同時�����,大家也不能把它當(dāng)作是安全的靈丹妙藥��。
“多因素身份驗證是保護可信任計算機和安全地遠程訪問網(wǎng)絡(luò)的很棒的方法�����,”他表示�,“多因素身份管理并不能解決所有問題,但是能夠解決密碼被共享和被破解的問題����。”
與Stockton的意見一樣�����,他警告說����,一次性密碼和其他多因素身份驗證的方法只有在不容易受到漏洞攻擊的系統(tǒng)中發(fā)揮強大的作用�。
“多因素身份驗證方法并不能解決數(shù)據(jù)盜竊惡意軟件將信息發(fā)送給網(wǎng)絡(luò)罪犯的問題��。如果你使用密碼的計算機已經(jīng)受到惡意軟件的感染����,那么你是使用常用密碼登錄還是一次性密碼登錄都是一樣,”Wisniewski表示�,“一旦計算機被攻擊,你可能可以通過使用一次性密碼來保護你的密碼����,但是你訪問或者輸入的所有數(shù)據(jù)都出于威脅之中。如果系統(tǒng)非常重要����,而你需要遠程訪問該系統(tǒng),并且你愿意部署額外的身份驗證方法��,那么被訪問的數(shù)據(jù)可能太重要以至于不應(yīng)該冒著數(shù)據(jù)可能被惡意軟件截取的風(fēng)險��?���!?/p>
【編輯推薦】
- 企業(yè)數(shù)據(jù)丟失保護數(shù)據(jù)安全DLP技術(shù)解決方案
- 內(nèi)部泄密對企業(yè)數(shù)據(jù)安全構(gòu)成最大威脅
網(wǎng)頁標(biāo)題:使用一次性密碼會給企業(yè)帶來數(shù)據(jù)風(fēng)險
文章位置:
http://uogjgqi.cn/article/ccidjsi.html
