如何使用多因素认证保护网络

在这个恶意软件和国家支持的选举黑客无处不在的时代，很容易看出我们肯定受到了网络攻击。恶意软件有多种形式，可以设计来实现许多目标，因此恶意软件攻击可以来自任何地方。通常情况下，它被设计用来收集个人信息出售，或者像在新闻中看到的那样，收集可以用来对付我们的思想和观点。社交媒体，一个最受欢迎的妥协和凭证盗窃途径，正在被黑客入侵——运行恶意软件通常不需要任何技能，它会在网络上爬行，寻找不安全的设备或错误的密码。这两个漏洞完全是由于人为因素的失败。

身份验证是确保一个人在试图访问设备或服务时是他们所说的那个人的过程。电子邮件是一种常见的服务，窃取某人的登录凭证相对简单。对于大多数电子邮件服务，认证所需要的只是用户名和密码。在一次针对竞选官员的臭名昭著的黑客攻击中，据称由谷歌安全部门发送了一封钓鱼电子邮件，要求用户重置凭据。这封钓鱼邮件要么是非常好的，要么是信息技术(IT)安全人员非常糟糕，因为官员泄露了证书，而官员的账户被俄罗斯情报人员泄露了;正如所描述的，这很简单。5万封电子邮件被窃取并公之于众。

要吸取的教训有很多。首先，并非所有的电子邮件(或社交媒体)都是可信的。每封邮件都是一个潜在的陷阱，除非它是来自你认识的人。识别钓鱼邮件最简单的方法是查看地址。

有一些非常聪明的坏人，他们已经熟练地创建虚假的电子邮件地址来欺骗眼睛，例如“安全在G00GLE.COM”。除了全是大写字母之外，仔细看看;许多不成熟的人会被骗，因为电子邮件中的展示可以看起来非常真实和吓人，把注意力从伪造的电子邮件地址上转移开。

打开电子邮件客户端中允许显示发件人实际电子邮件地址的选项。合法的公司有域名。如果你的客户不允许，找另一个客户。避免基于网络的电子邮件服务，选择一个可以控制的本地客户端。最后，永远不要把证书交给任何人，无论是通过电子邮件还是电话。合法的公司永远不会通过电子邮件要求你提供证书。

多因素身份验证(MFA)是一种技术，如果实现得当，可以有效地阻止妥协。这项技术已经被广泛使用;当你用信用卡购买汽油，然后被要求输入邮政编码时，使用的是MFA。另一个常见的例子是ATM卡。MFA使用密码以外的多种方法来确定ATM用户是否与他们声称的身份相符。

有三个因素可以组合使用来创建一个可以被各种设备和服务验证的身份:你拥有的东西，你知道的东西，或者你是什么。正确使用这些因素可以防止泄露。

单因素身份验证

单因素身份验证通常通过使用密码来完成。不幸的是，许多密码都没有经过仔细选择，很容易被猜到或通过简单的方法获得。令人难以置信的是，人们仍然使用“123456”或“654321”作为密码。更糟糕的是只使用“password”或它的几个常见变体(例如p@ssw0rd)。再多的培训或教育似乎也阻止不安全密码的使用。想想最近一名政治官员被黑客攻击，他使用“passw0rd”作为自己的密码;俄罗斯黑客笑着说，“他可能被一个14岁的孩子黑了。”

不幸的是，这是一个真实的陈述。而像“1234”这样的密码可以在0.2毫秒内被破解。如果除了密码别无他法，记住越长越强。一些网站会测试密码，并展示破解各种长度密码所需的时间;一个10个字符的混合大小写，数字和符号的密码需要87年(见表)。到那时，普通黑客将转向更容易实现的目标。

使用更聪明的密码可以减少攻击面。创建一个只有你自己知道组成部分的公式。例如，它可以是一个实际的代数方程，也可以是一系列单词和符号，它们每次都以相同的顺序放在一起，但具有不同的数字和字母分量。使用一组公式作为记忆辅助也有风险:如果公式被泄露，整个登录套件就会被泄露。谨慎行事。

双因素身份验证

双因素身份验证(2FA)涉及前面提到的两个因素的组合。它可以是你知道的东西(密码)和你拥有的东西(token或卡片);它可以是你拥有的东西和你是什么(指纹扫描);或者是你知道的和你的身份。2FA也是一个两步认证。

当一个代码被发送到你的电子邮件或电话，并且除了你的密码之外还输入了它，这就是2FA。你的信用卡和你的账单邮政编码或你的ATM卡和密码如上所述，都是常见的例子。就是这么简单，但也有危险。密码和令牌都可能被盗。或者，你可能会被勒索或其他更强硬的手段强迫使用你的信用卡和密码。

最后一个警告:秘密问题是“你知道的事情”的一个例子，被用作认证的一个因素;我强烈建议对这些问题给出错误的答案——只要你能记住它们——因为诸如母亲的娘家姓或以前的地址，甚至是第一只宠物之类的信息通常都能被黑客使用谷歌搜索轻松找到。在社交媒体上尤其如此，人们可能会内疚地袒露自己的灵魂。即使有上述缺陷，只要合理小心和常识，使用2FA也可以保护个人不受侵犯。

三因子认证

三因素身份验证在普通消费者环境中很少见。在高度安全的环境中，通常使用三个因素。希望访问高度安全区域、设备或服务的个人可以使用密码或PIN码、身份证或令牌，并扫描一些身体部位，如指纹、手印、视网膜或面部。这与其他安全技术一起，实际上将确保正确的身份验证。

然而，没有什么可以防止一个有决心的人访问安全的地方或数据，利用这些因素来破坏系统。在这种情况下，个体回避了其他用作行为预测的筛选方法。

密码最佳实践

没有理由使用糟糕或弱的密码。第一个攻击向量总是针对用户的密码。这通常是通过社会工程活动来实现的。如果可以骗受害者提供他或她的密码，那么接下来的事情就很容易了。这种情况发生的频率比你想象的要高，即使所有的媒体都在报道这类事情。这是一场信心游戏，不幸的是，很多人都很容易上当受骗。制定和记住一个复杂的密码是一项太大的工作，所以它要么无法完成，要么被写下来。这两种选择都可能导致违规。

最后，一个经常被忽视的威胁是无法更改普通设备的默认密码，这导致了互联网上的巨大破坏。当你购买一个新的联网设备时，要做的第一件事就是更改默认的登录凭证。通过使用“admin”或“password”或“1234”作为用户名和/或密码的组合，可以访问数百万个物联网(IoT)设备。

Mirai Bot的设计目的是寻找不安全的物联网设备，特别是那些用户名和密码为admin的设备。这使得机器人可以进入家庭网络，然后进入其他网络。由于2016年Dyn网络攻击，大部分互联网被关闭。直到2018年7月，Mirai的变种仍在造成严重破坏。

通过一些努力、思考和常识，使用MFA可以使任何设备、服务或网络几乎不可破解。目标是减少攻击面，使其在网络环境中不那么可见，如果不是不可见的话。有些人不需要冒什么风险，也不需要付出什么努力，就会为了获得巨大的回报而捕食他人。归根结底，只有您才能保护您的信息，学习如何保护您的信息是值得花时间的。

丹尼尔·e·卡帕诺他是纽约甘尼特弗莱明工程与建筑公司的高级项目经理。他还是斯坦福德水污染控制管理局(SWPCA)的副主席，并担任SWPCA技术委员会主席。卡帕诺是控制工程编辑顾问委员会。由内容经理马克·霍斯克编辑，控制工程， CFE传媒，mhoske@cfemedia.com．

关键词:工业无线，网络安全，黑客

很容易人们会被潜在的网络钓鱼和黑客攻击所欺骗，黑客们就指望着人们的懒惰。

单因素、双因素和多因素身份验证都需要额外的步骤来降低风险。

一个多因素如果正确使用身份验证方案，可以使任何设备、服务或网络几乎无法穿透。

考虑一下这个

网络安全就像安全一样，工程师应该时刻牢记。

在线额外

更多关于俄罗斯黑客行动的信息请见美国司法部(DOJ)．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。