来自 CC防护 2021-04-26 19:09 的文章

ddos防攻击_抗ddos攻击_如何解决

高防CDN_如何处理_晋江纸牌防御

额外的登录安全性有多安全?最近一个星期都有关于大规模数据泄露、网络犯罪、勒索软件或知名目标被黑客攻击的新闻报道。尽管我们越来越了解如何保护我们的数据和帐户的安全,服务提供商也让黑客们更加难以对付,但我仍然看到了许多关于各种安全附加组件质量的不良做法和误解。但是,首先有几个定义:用户名/密码-无处不在的用户名或电子邮件,加上您选择的密码,高防cdn哪家好,可能需要经常更改。安全问题——标准的问题集,如"母亲娘家姓"、"最喜欢的颜色"、"第一只宠物的名字"等。短信/电话代码-一个服务短信或打电话给你提供一个代码,你可以输入,以便登录。一次性密码-一种标准的加密狗、硬件设备或电话应用程序,显示您可以输入的一次性密码进行访问。这些通常包括一个"备忘单"或者在你找不到设备时可以使用一次的特殊代码。推送通知-通常是一个移动设备应用程序,请求验证以允许您登录。设备验证-一个广泛的类别,涵盖附加的安全性,依赖于识别特定的设备。它可以是一个插在你的笔记本电脑上的加密狗,或者是设计用来识别你的笔记本电脑的软件。物理身份-传统的"请出示证件"的身份验证形式。通常由一个值得信任的人(如公证人)亲自检查相关人员,并根据国家颁发的身份证核实他们的身份。但是,由于网络摄像头和会议软件的普遍存在,这可以在高度信任的情况下通过网络进行**这不应该与"呼叫帮助台"相混淆。帮助台历来是许多安全设置中的一个弱点,但我今天就不谈了。现在我们已经对各种安全附加组件有了共识,cdn高防服务,是时候…像一个(懒惰的)黑客一样思考:其他因素对保护你有多大帮助?好吧,真正的问题是,"试图进入你账户的黑客有多坚决?"所以,ddos防御论坛,第一个大问题是…我要保护什么?是不是有点像Netflix的账户?在这里,我一点也不担心是否有人"入侵"了我的账户。如果有的话,安全功能更多的是为了保护Netflix不让我和我认识的每个人分享我的细节。我甚至可以自由地承认,我几乎所有的流媒体服务帐户都使用相同的用户名/密码组合(最好与家人共享)另一方面,如果我想保护我的银行账户,或者一个公司汇款系统,那就完全不同了。如果有人发现了允许访问我的银行账户的凭证(在黑暗的网络上出售),而阻碍我的钱的唯一因素就是几个安全问题,黑客就会很有动力在谷歌上搜索,试图猜出答案(讽刺的是,我的第一个宠物被命名为"Password1234")基于电话的密码呢?在这里,他们得再努力一点。但是,美国高防cdn节点,正如最近一些备受关注的案件所显示的那样,通过克隆的sim卡窃取我的电话号码可能是值得的。"克隆sim卡?"-由于提供移动电话计划的商店的普遍增加,无线路由器ddos防御,有机会使用更换手机运营商和/或电话所需工具的无良人员也有所增加。而且,以合理的价格,他们非常愿意欺骗我的手机运营商,把所有的电话和短信都路由到黑客的手机上。一旦他们做到了,他们就能截获我想要的密码。而且,既然他们偷了我的电话号码,我一点也不聪明。毕竟,我没有得到任何关于这件事的通知。设备上的安全性呢?在这里,黑客终于在一个真正的劣势工作。这些设备具有内置的安全性,以防止人们复制或克隆他们持有的凭证。"中间人"攻击可以用来绕过内置的安全机制。这是一个黑客设法让我登录到他们邪恶的网站(假装是我的银行),他们捕获传输的密钥并将其传递给真正的银行网站,但这需要我积极尝试做一些银行业务。对于执行推送通知的应用程序也是如此。他们用我的登录凭证访问银行网站,然后骗我批准他们的登录尝试,因为我认为我批准的是我的登录尝试,而不是他们的。然后,我们拿到证书。当涉及到证书时,你不可能真的进行"中间人"攻击,因为长话短说,你的浏览器和操作系统的设置是只向分配证书的网站颁发证书。这也被放入WebAuthN认证标准中。因此,证书是超级安全的,因为它们绑定到特定的设备上。(请为版权着想,Randall Munroe,又名XKCD)但是,正如漫画所示,我们也进入了梦幻世界。如果一个黑客真的在跟踪你偷你的设备…这不是"什么因素适合我?"还有"我需要雇多少保镖?"值得一提的是,谷歌最近宣布的量子计算机可能会使这些证书在几分钟内就被破解……但是,除非黑客能以不到几百美元的价格买到一台,否则我不会担心这个问题。尽管如此,在所有额外的安全措施中,任何与特定设备相关的东西都将是最安全的,当涉及到一个普通的黑客,他们很可能是从世界的另一个地方进行交易的。物理安全-最后一个因素可能是黑客的死亡之吻。他们必须亲自出现,和一个真实的人交谈,然后拿出一个可信的假身份证。记分卡让我们从熟悉的ole用户名和密码组合开始。这仍然是一个很好的方法来保护你的帐户,但它变得越来越不有效;部分原因是大约70%的人不必费心为我们使用的所有网站和服务提供唯一的密码;部分原因是你每次登录时都会输入密码,所以总有可能被黑客截获。或者有人通过网络把它们卖掉。用户名+密码:B表示安全性,B-表示可用性下一个问题是安全问题,因为安全因素太弱了。少量的谷歌搜索、查看Facebook个人资料或公共记录就能确定答案。他们也是一个痛苦的记忆。而且,为了访问您的帐户,还需要输入一件事。安全性问题:D代表安全性,C代表可用性还有短信(或电话,电脑生成的语音会给你读一个号码)。除了输入用户名和密码外,有些服务还会向您的手机发送一次性代码,您可以输入该代码进行登录。这无疑是有帮助的,并有额外的好处,提醒你,当有人谁不是你试图访问你的帐户。另外,有些设备(例如iOS)实际上可以理解何时向您发送代码,并主动为您填写代码。短信/电话:B+表示安全,B-表示可用性还有专门的、基于机器的因素。这些都是你插入计算机的安全设备,像OneLogin Protect或Google Authenticator这样的身份验证应用程序,甚至是安全证书(本质上是安装在你用来登录的特定计算机上的安全密钥)这些都是与你拥有的特定东西相关的非常安全的因素。他们在可用性上也得不到A+,因为…好吧,当你丢失设备时会发生什么?一次性密码:A表示安全性,B-可用性推送通知:A表示安全性,B表示可用性设备验证:A+表示安全性,A表示可用性还有一个"终极因素"——亲自(或通过网络会议)出现在一个真实的人面前,并以政府签发的身份证的形式提供具体证据,证明你是你所说的自己。非常安全!但是,甚至远程用户友好。物理标识:A+表示安全性,D-表示可用性B计划对于这些附加因素中的任何一个要考虑的是"如果我失去或忘记了它们会发生什么?"这是一个很好的考虑其他因素,可以用来从这种情况下恢复。忘记密码了?使用您的电子邮件帐户或身份验证应用程序来恢复它。手边没有可信任的设备吗?用户名/密码/电子邮件可能足以进入。请记住,这些备份机制中的每一种都"增加了攻击面"—这只是安全性的说法,"更多的方式进入帐户"最重要的附加安全:你的习惯好消息是,所有这些附加因素都可以与所谓的"行为分析"相结合。本质上,你正在验证的系统可以监控你通常登录的位置、你使用的登录设备、你通常登录的时间,也许最重要的是你在尝试做什么。如果你的风险状况很低…你要在晚上6点从家里登录,和每天一样,检查你的账户余额。也许要求一个额外的因素是过分的。见鬼,当一个简单的推送通知询问"你想登录吗?"够了。另一方面,如果突然有人从国外登录,使用他们从未使用过的设备,在凌晨4点,转账10万美元……系统可以简单地说,"不,打电话给我们,用网络会议和护照或驾照来确定你的身份。"如果不可能的话,请等您回到熟悉的地点。"长话短说:安全问题是个笑话。短信很好…不