亚洲国产免费视频99,一二三四在线视频,搞少妇人妻视频老司机av

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

你母親的娘家姓是4tz9Ru#p你的童年好友是b2p^fqw

隨機強口令的使用幾乎已成主流，略有一點安全意識的人都清楚：“password1”或“1234567”這種口令不會給他們帶來任何好處。但即便口令安全有所改善，卻有更嚴重的問題潛藏其下：安全問題。

十年建站經(jīng)驗，網(wǎng)站設(shè)計、成都網(wǎng)站設(shè)計客戶的見證與正確選擇。創(chuàng)新互聯(lián)建站提供完善的營銷型網(wǎng)頁建站明細報價表。后期開發(fā)更加便捷高效，我們致力于追求更美、更快、更規(guī)范。

由于雅虎數(shù)據(jù)泄露事件，如果你正好有個雅虎賬戶，那恭喜你，恐怕你得另找個新媽媽，或者在另一個城市成長了。多個站點間安全問題及答案的重復(fù)使用，意味著雅虎數(shù)據(jù)泄露的影響，相當于生態(tài)災(zāi)害的網(wǎng)絡(luò)安全版。

上個月底，雅虎曝出大規(guī)模黑客事件，至少5億用戶數(shù)據(jù)被國家支持的入侵者盜取。且該公司被盜數(shù)據(jù)列表中不僅包括了通常的口令字散列值和電子郵件地址，還有受害者用以重置口令而設(shè)的安全問題和答案——你最喜歡的度假地點或你成長的街道等本應(yīng)私密的信息。雅虎的數(shù)據(jù)大泄洪，昭示出這些無傷大雅的問題依然是我們網(wǎng)上身份驗證驗證系統(tǒng)的薄弱環(huán)節(jié)。安全社區(qū)對這種安全問題的態(tài)度是：這玩意兒早該廢棄了——而在尚未廢棄之時，你也不應(yīng)誠實回答。

安全問題既容易被猜出來，在遭遇重大泄露事件(如近期的雅虎)之后又難以修改，作為口令的應(yīng)急機制，實在是太不合格了。它們本應(yīng)作為可靠的最后救援手段：即便忘記了復(fù)雜的口令，思路是不會變的，母親娘家姓氏或自己出生的城市是不會忘記的。但是，依靠這些根本不保密的真實數(shù)據(jù)——Web和社交媒體搜索常會暴露出人們的成長地點或第一輛車的牌子，安全問題方法會讓賬戶處于風(fēng)險之中。而且，鑒于你第一只寵物的名字通常不會改變，如果你對這些安全問題的回答被數(shù)字窺探或數(shù)據(jù)泄露披露了，那么多個數(shù)字服務(wù)的安全問題也就同時沒用了。

母親的娘家姓還是重設(shè)一下吧

所有這些都讓安全專家無比期待它們的消亡。既然口令都不安全了，那為什么安全問題能享受特殊待遇一直生存下去?每發(fā)生一起數(shù)據(jù)泄露，就有更多的個人信息暴露出來，猜解安全問題答案會變得更簡單，黑客也可以重用被泄安全答案染指其他服務(wù)。只要收集整合各起泄露事件成果，攻擊者總能獲得越來越多的用戶信息。

甚至聯(lián)邦政府都已經(jīng)準備好拋棄安全問題。7月，美國國家標準技術(shù)局(NIST)發(fā)布了一份新提交的草案——《數(shù)字身份驗證指南》，該指南的上一個版本還將“預(yù)先登記的知識令牌”，也就是安全問題，列入身份驗證推薦技術(shù)中，但新草案就完全沒提到此類方法。換句話說，NIST不再將安全問題作為保護聯(lián)邦賬戶的措施之一。就連因泄露事件而提供用戶賬戶保護工具的雅虎自身，現(xiàn)在也特別指出，“為保護您的賬戶，我們建議您禁用安全問題。”

2015年，2名谷歌安全研究員曾在文章中分析了安全問題方法的弱點。他們認為：“安全問題既不安全，又不可靠，不足以用作獨立的賬戶恢復(fù)機制。其存在根本性缺陷：這些答案要么安全，要么好記，但極少兩者兼?zhèn)??！?/p>

其實早在這份研究出爐之前，谷歌就已經(jīng)在逐步淘汰安全問題，轉(zhuǎn)而要求用戶設(shè)置短信和備份電子郵件來提交賬戶恢復(fù)了。

無法一蹴而就

然而，從安全問題上轉(zhuǎn)型并不容易。公司需要實現(xiàn)另外的意外事件解決方案，比如發(fā)送口令重置指令到備份電子郵件地址，要求用戶提供實體驗證加密狗，或者使用安全身份驗證App發(fā)來的實時驗證碼。但是，情況依然在惡化，因為甚至發(fā)送短信到預(yù)定義手機號，這種當前流行的安全問題替代方案，也有其自身的安全弊端。出品了流行口令管理器 1Password 的AgilBite公司產(chǎn)品安全官就說過，“問題很難解決，(不)安全問題很棘手。談?wù)撍鼈円l(fā)的糟糕安全漏洞很容易，提供替代方案卻十分困難?！?/p>

不過NIST負責(zé)標準修訂的高級標準與技術(shù)顧問保羅·格拉西倒是覺得，安全問題的可用替代方案很多，足以支持讓安全問題退出歷史舞臺，即便是聯(lián)邦政府這么龐大復(fù)雜的機構(gòu)也夠用。一招通殺的萬靈藥肯定沒有，但值得欣喜的是，各家機構(gòu)都在出品很多東西。想要谷歌Prompts?拿來用就是了。想要U2F，用唄!就算想要寄到府上的書面憑證也行啊。

流行Web服務(wù)正試圖從安全問題遷移到這些更高級的方法，不過，各自的遷移進程不同。大多數(shù)網(wǎng)站都會在登錄頁面顯示“忘記口令?”鏈接，引導(dǎo)用戶去向口令修改工具。但想要修改安全問題本身，你就得翻遍賬戶選項了。

推特似乎根本沒采用安全問題的方法來進行賬號恢復(fù)。Facebook首選預(yù)留的備份電子郵件地址和手機號，安全問題只是以上二者都不可用情況下的最后手段。不過，F(xiàn)acebook不允許用戶更新或改善他們的問題。亞馬遜支付與Facebook策略相同。很多銀行，比如花旗銀行、道明銀行、富達銀行，依然高度依賴安全問題作為賬戶恢復(fù)技術(shù)。

我第一輛車是Y^i72b(lV$

鑒于安全問題還不會很快消亡，可以暫時先采取些措施加固一下——至少在某些服務(wù)上。強化安全問題的最佳方法，就是在答案中撒謊，最好是用隨機字符串作為答案，而不是提交有意義的信息。這么做，即便有問題問的是鮮為人知的生活細節(jié)，你也不會曝露出可能在安全事件中被泄的答案。

數(shù)據(jù)泄露頻發(fā)的時代，你母親的娘家姓應(yīng)該是4tz9Ru#p，你的童年好友應(yīng)該是b2p^fqw。

——Christopher Soghoian (@csoghoian) September 23, 2016

安全問題的答案怎樣做到強壯又獨特?把它們當做口令一樣設(shè)置就好。

——Whitney Merrill (@wbm312) September 23, 2016

當然，這種方法會讓安全答案根本不可能像真實個人信息一樣好記。這也是為什么應(yīng)該依靠口令管理器的原因所在，管理器不僅僅存儲隨機產(chǎn)生的強口令，還能存儲安全答案。

如果你已經(jīng)花時間往口令管理器中添加了盡可能多的賬戶并隨機化了所有口令，那你就能體會到這是一個可行但耗時的工程。即便你手速快效率高，1個口令的重置、添加和確保正確存儲到口令管理器，也是需要花費1到2分鐘的?；ヂ?lián)網(wǎng)深度用戶通常會有100多個數(shù)字賬戶關(guān)聯(lián)到他們的主電子郵件地址，在安全機制并不總是觸手可得的情況下，隨機化每個安全問題依然步履維艱。

專注修改包含有最敏感數(shù)據(jù)的安全答案是個不錯的建議，比如含有你電子郵件、財務(wù)和醫(yī)療賬戶的那些。而且即使你是那種不用口令管理器的人，現(xiàn)在開始用它跟蹤安全答案也不晚。每個網(wǎng)站或服務(wù)都應(yīng)有唯一的口令，安全問題的答案同理，而口令管理器可以完美解決這個問題。你可以先從決定將某些安全答案放到口令管理器中開始，不用去做那些不可能做到的事——比如記憶上百個隨機安全答案。

只要當成第二個強口令使用，安全問題也是能提供一定的保護性的。不過，由于在線服務(wù)數(shù)年來都在訓(xùn)練用戶輸入極不安全的安全答案，想要改變不會太容易。安全問題這套系統(tǒng)，最好情況也就是像口令一樣健壯，最壞情況卻能將你寵物的名字變成危險的安全漏洞。

安全問題，是時候說再見了。

網(wǎng)站名稱：你母親的娘家姓是4tz9Ru#p你的童年好友是b2p^fqw
文章鏈接：http://m.jiaoqi3.com/article/djoihei.html

新聞中心

其他資訊