創(chuàng)見干貨：密碼太長記不住，密碼太簡單又容易被黑客攻擊。普通人的生活被黑個(gè)賬號也許無傷大雅，但涉及到企業(yè)郵箱等商業(yè)秘密，一旦資料泄露那后果不堪設(shè)想。為了解決這些問題，Duo security 公司，一家專注企業(yè)移動安全的公司，開發(fā)了雙重驗(yàn)證系統(tǒng)。幫助用戶輕松登陸，也一定程度降低黑客攻擊的風(fēng)險(xiǎn)。

　　昨天我（原文作者）妻子的 Gmail 賬戶被黑客給黑了。我最后幫她把賬戶找回了，但花了我一個(gè)小時(shí)時(shí)間而且差點(diǎn)就沒法恢復(fù)賬號。如果這種事發(fā)生在你們公司的企業(yè)郵箱上，那后果就不單單是花費(fèi)某人的一個(gè)小時(shí)時(shí)間這么簡單了。

　　在我?guī)臀移拮踊謴?fù)賬號后我做了一件事（當(dāng)然也是你們應(yīng)該做的）：我給企業(yè)郵箱賬號設(shè)置了雙重驗(yàn)證。

　　雙重驗(yàn)證不像只需輸入用戶名和密碼來登陸那么簡單，通常是需要通過短信或你的手機(jī)上的應(yīng)用來發(fā)送驗(yàn)證碼給你，但也可以通過生物數(shù)據(jù)來驗(yàn)證——比如可以用 iPhone 上的指紋感應(yīng)在 Apple Pay 上付款。

　　我只花了 1 分鐘就給我妻子的 Gmail 賬戶設(shè)置好了雙重驗(yàn)證登陸，這至少比做生意要簡單多了吧？為了設(shè)置這個(gè)雙重驗(yàn)證，我求教了企業(yè)移動安全公司（Duo security）安全調(diào)研部的主管 Steve Manzuik（以下用 SM 代替）。

　　我：正如我妻子的例子所示，安全環(huán)節(jié)通常是公司在遇到問題后才會考慮的事情。最近幾樁大型黑客事件（最后通過設(shè)置雙重驗(yàn)證才防止損失加重）涉及的行業(yè)大亨包括蘋果公司（名人照片由 iCloud 外泄）、Bitly（短鏈服務(wù)提供商，縮短你的網(wǎng)址鏈接使之更易被分享，譯注）、印象筆記、甚至是投資銀行摩根大通。這些公司在被黑后估計(jì)都為沒有事先設(shè)置雙重驗(yàn)證登陸而后悔不迭�，F(xiàn)在問題來了，我們到底該如何勸說那些企業(yè)未雨綢繆為安全問題做些準(zhǔn)備？

　　SM：這些公司應(yīng)該重視安全問題的原因有若干個(gè)，其中有些原因很顯而易見，而有些卻往往被人們所忽視。

　　首先，在出現(xiàn)黑客問題后，你們公司的董事第一個(gè)想要責(zé)備的人不是 CIO 也不是 CISO（首席信息安全部部長），而是 CEO。

　　資料泄露已經(jīng)不僅僅是技術(shù)問題了。他們關(guān)系到商業(yè)的核心問題。根據(jù)最近紐約證券交易所和安全公司 Veracode 聯(lián)合開展的一份關(guān)于 200 家公司主管的調(diào)查表明，超過 40% 的調(diào)查者認(rèn)為 CEO 應(yīng)該承擔(dān)資料泄露所造成的一切不良后果。

　　其次，安全服務(wù)行業(yè)的復(fù)雜晦澀和價(jià)格昂貴已經(jīng)在業(yè)內(nèi)是眾所周知的。像摩根大通這樣的行業(yè)大亨每年投資 2.5 億美元——下個(gè)五年里估計(jì)要翻倍到 5 億美元——為的就是防止以后不被黑客攻擊，哪怕這些昂貴的服務(wù)和產(chǎn)品其后的技術(shù)涉及的只是非常簡單的數(shù)據(jù)。那我們這些行業(yè)新手該怎么做呢？

　　第三，根據(jù)報(bào)告，大多數(shù)數(shù)據(jù)泄露的發(fā)生并不是因?yàn)榫W(wǎng)絡(luò)罪犯非常老練，能用復(fù)雜的方式入侵企業(yè)電腦，而是因?yàn)槿藗兊顷憫{證遺失或被偷。是的，不會有假，你們公司現(xiàn)在肯定有人就把 123456 設(shè)為密碼。

　　我：好吧，那跟我們說說雙重驗(yàn)證登陸到底是怎么回事。

　　SM：雙重驗(yàn)證登陸要求用戶在輸入完用戶名和密碼后，進(jìn)行二次驗(yàn)證，以次避免黑客使用盜來的登陸憑證進(jìn)行非法登陸。因?yàn)槊艽a是只有用戶知道的，我們還需要確保用戶得提供其他信息才能登陸，進(jìn)而使黑客無計(jì)可施。

　　在過去，第二次驗(yàn)證通常是靠輸入數(shù)字構(gòu)成的驗(yàn)證碼、智能卡或發(fā)送驗(yàn)證短信到你的手機(jī)上來完成的。如今的雙重驗(yàn)證得益于智能手機(jī)的推送技術(shù)，讓用戶能夠只需動動手指，在屏幕上簡單滑一下就招來一輛 Uber 的車。

　　雙重驗(yàn)證通過讓你再輸入一串密碼來防止黑客通過偽造身份發(fā)送郵件（比如編造一封來發(fā)自你的銀行的郵件）來截取你的密碼從而入侵你的系統(tǒng)。使用雙重驗(yàn)證會讓通過例如病毒軟件竊取你的登陸憑證的網(wǎng)絡(luò)罪犯進(jìn)行的黑客攻擊概率降低。

　　用了雙重驗(yàn)證，無論黑客用什么手法，你都能實(shí)時(shí)監(jiān)測，然后及時(shí)采取措施以防黑客進(jìn)一步行動造成更大損失。

　　我：我懂你的意思了。但雙重驗(yàn)證對企業(yè)來說有什么最基本的獨(dú)特賣點(diǎn)？

　　SM：我跟你說三點(diǎn)。

　　首先，雙重驗(yàn)證對用戶的技術(shù)水平要求很低。

　　太多太多的安全保障步驟要求用戶在工作中做一些不自然的舉動。這些步驟對用戶強(qiáng)加了太多不切實(shí)際的期待，對他們要求太多。安全保障工作應(yīng)該設(shè)計(jì)成簡單順手到讓用戶無需察覺就能完成的。

　　復(fù)雜的安保手段會讓人們不樂于參與，或者更糟糕的是，人們會找認(rèn)為跟其相關(guān)的工具來保護(hù)密碼。這無疑會使整個(gè)環(huán)境的安全度下降。

　　復(fù)雜繁瑣是安全的大敵。

　　一個(gè)合適的雙重驗(yàn)證設(shè)計(jì)方案能與將與用戶的互動降到最低，并且能在不干擾用戶日程的前提下無縫嵌入日常生活。

　　第二點(diǎn)，雙重驗(yàn)證不需要任何 IT 管理方面的培訓(xùn)。你不用復(fù)雜的 IT 程序來使之生效。

　　大多數(shù)安全問題解決途徑都與安裝和配置系統(tǒng)相關(guān)，為的是能監(jiān)控管理安保步驟，所以就不用考慮把預(yù)算花在昂貴的外聘專家上，讓他們給你提供實(shí)時(shí)維護(hù)、監(jiān)控和客制化服務(wù)了。

　　總而言之，為了運(yùn)行一個(gè)完整的安全保障系統(tǒng)，一些組織不得不雇傭額外的內(nèi)部安全團(tuán)隊(duì)，斥巨資在用戶培訓(xùn)上。這些做法的效率都很低下，而且這些信息技術(shù)不消一年可能就過時(shí)了。

　　如今的雙重驗(yàn)證系統(tǒng)不需要對用戶專業(yè)化培訓(xùn)，也不需要昂貴的咨詢費(fèi)。而且，雙重驗(yàn)證不僅僅是曇花一現(xiàn)的安全科技狂熱，它是歷經(jīng)數(shù)十年的安全保障的最佳方案，是具有前瞻性的。

　　最后一點(diǎn)，雙重驗(yàn)證能簡化密碼設(shè)置的政策。

　　人們一度試圖設(shè)置復(fù)雜難猜的密碼來防止被盜，安全保障行業(yè)還特別地為高保密強(qiáng)度的密碼擬定了一個(gè)標(biāo)準(zhǔn)的規(guī)范。

　　歷時(shí)數(shù)年，這個(gè)高強(qiáng)度密碼規(guī)范鼓勵(lì)人們用起了前所未有復(fù)雜的密碼。如今的用戶，普遍上不僅為想出一個(gè)所謂的「高保密強(qiáng)度密碼」感到頭疼，他們也沒指望自己能記住這些密碼。

　　用戶們都是如何反應(yīng)的？正如你一樣，大多數(shù)人把他們「高保密強(qiáng)度密碼」寫下來，然后隨手扔在旁邊，或者他們?yōu)閳D方便就在各個(gè)網(wǎng)站都同一個(gè)密碼。這種只需記住一種密碼的做法，使他們更容易被網(wǎng)絡(luò)罪犯給一舉攻破防線。

　　這些情況反復(fù)發(fā)生，但實(shí)際上大可不必這樣。

　　為什么公司們會在被黑客攻擊后轉(zhuǎn)向使用雙重驗(yàn)證系統(tǒng)？很簡單，因?yàn)橘M(fèi)用低，他們可以承擔(dān)。而且還能夠阻止大量的黑客入侵你的電腦獲取寶貴數(shù)據(jù)。

　　但是人們最好還是在資料泄露之前就做好準(zhǔn)備，看看雙重驗(yàn)證系統(tǒng)是否適合你的公司。在經(jīng)歷了公司與黑客斗爭的20年歷史后，我認(rèn)為這是保護(hù)你的公司信息安全的最好方式了。