分类
计算机与互联网

如何让你的账号更安全?MFA是什么?

在互联网中,确定你是你非常重要。因为在互联网当中,只有确定你是你,才能给你享受服务。政府也一样。就像有些人就是要去开具证明书,来证明你是你。政府进行的大部分事物都是建立在你是你的基础上。比如说政府需要找对人来收税、给你提供医保社保……但要是你不是你,那就有可能会被别人占用了你的服务。

在互联网这个世界中,如何证明你是你呢?验证主要分为三层。

  1. 你本身。比如说人脸验证、指纹验证就是用你具有你自己的肉体来证明你是你的。这一层次的信息比较难仿造,所以一些对安全要求比较高的服务都要求进行这层验证。(当然也不是所有服务都可以进行这种验证的)
  2. 你所拥有的东西。验证你的手机识别码就是通过验证你所拥有的东西来证明你是你。Google的身份验证器也是这种验证。
  3. 你所知道的东西。比如说账号密码、密保问题等等。这种是攻击者比较容易获取到的。

大部分人使用服务还停留在第三层验证,但第三层验证比较容易被人破解。一旦有人获取到了你的账号密码,下面的情形也许就会发生:

  • 首先,攻击者得先知道你的账号密码。也许你所注册哪个网站被攻击了,攻击者进入数据库得到账号密码。
  • 其次,如果账号密码是密文的话,攻击者得鲜通过暴力破解转换成明文。(将密码设复杂一点就是为了防止这种暴力破解)
  • 再接着,攻击者会尝试在你可能会注册的网站里面登录,这就是所谓的“撞库”。(给不同的平台设置不同的密码,就是为了防止撞库)
  • 如果你没有设置MFA或者是其他的验证方式,攻击者知道了你的密码,网站上面的其他安全措施就形同虚设。攻击者就可以顺利的登录你的账号。

除了上面讲的将密码设复杂一点、设置不同密码外,我们还可以通过一种方式让攻击者锦锦知道账号密码也没用,那就是多重验证。

假设攻击者得到密码,也就是得到了一把钥匙,那我们就可以想办法弄成两把锁。一把钥匙解不开两把锁,这样攻击者仅仅获得了密码也没有办法登录。

现在有一些平台登录机制已经非常成熟,有一些多重验证手段已经不需要我们手动开启。就比如说你在进行百度登录的时候,百度会对你的账号安全情况进行分析,并且考虑是否对你进行手机短信或邮箱验证。手机短信验证和邮箱验证就是多重验证的一部分,开启这两种验证攻击者需要你的手机或者你的邮箱才可以完成验证。

当然,我们还可以手动开启虚拟MFA(需要在设备上面下载应用程序,比如说谷歌的身份验证器),开启虚拟MFA大概会经历这么几个过程。

  1. 根据平台给出的密钥填入身份验证器。
  2. 验证器根据算法先得到一串数字。
  3. 平台要求你把数字提交给他,让平台知道身份验证器初始生成的数字。
  4. 接下来平台和身份验证器会按照同一个算法进行生成。
  5. 你要再次登录平台的时候,将验证器生成的数字提交给平台。
  6. 按照同一个算法生成,理应数字是一样的。当平台比对数字一样后,验证通过。

当然我写的这段还比较肤浅,在这边推荐一下身份验证器如何验证身份?这一篇文章。

最后,我们要怎么做才能让我们的账号变得更安全呢?

  • 设置安全强度高的密码,建议同时使用数字、大写字母、小写字母和特殊符号。
  • 不要将密码设置为你的姓名、电话、生日等个人信息。
  • 在不同平台填写不同的密码,避免攻击者撞库。
  • 开启多重验证,增加攻击者攻击账号的难度。

“如何让你的账号更安全?MFA是什么?”上的一条回复

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注