根据美国国家网络安全和基础设施安全局(CISA)的数据,美国头号网络犯罪类型是“冒名顶替诈骗”,每 5 人中就有 1 人在事件发生后报告经济损失。需要明确的是,冒名顶替骗局本质上是一种恶意的网络行为者窃取或盗用受害者身份,希望日后勒索他们(或附属组织)的情况。而且,由于电子邮件地址通常是解锁大多数类型的在线个人信息(从社交媒体帐户到游戏服务器和个人购物篮)的关键,网络犯罪分子通常会首先尝试入侵并窃取个人(或工作)电子邮件。
正是出于这个原因,近年来,世界各地的网络安全专家推荐企业和个人用户在其电子邮件帐户(以及其他可能的地方)上实施多因素身份验证协议。同样,企业和个人用户也被建议使用具有强大电子邮件身份验证/验证策略的电子邮件客户端,以保护自己免受来自欺骗服务器的网络钓鱼消息的侵扰。如果您担心您或您的企业没有使用多因素身份验证协议或安全电子邮件验证策略,请继续阅读以了解有关这两者的更多信息。
什么是多重身份验证?
多因素身份验证(有时简称为 MFA)是一种网络安全实践,可在用户访问某个系统之前进行多层安全检查。对于电子邮件帐户,可能会提示用户输入以下一项或多项内容:附加密码、安全短信的代码或预定安全问题的答案。MFA 主要用于阻止黑客和其他恶意的网络行为者使用被盗凭证访问在线帐户。
其他类型的多因素身份验证包括:
- 语音留言:向您的手机发出的安全自动呼叫,其中包含密码或一次性代码。
- 推送通知(有或无号码匹配):无号码匹配的推送通知通常采用移动或平板设备上的通知形式,需要交互,例如要求用户将通知中的号码输入在线应用程序以批准身份验证请求。
- 一次性密码 (OTP):OTP 是一种基于令牌的系统,可以安全地将唯一的一次性密码发送到辅助电子邮件、手机或平板电脑。它们通常由您的电子邮件客户端或提供商操作,并要求用户在规定的时间内输入一次性密码。它们也可以由某些形式的安全硬件生成,通常由四到十二个数字组成。
- 公钥基础设施 (PKI):这些是使用双密钥非对称密码系统通过数字证书加密、交换和验证数据的底层硬件和软件集。
- 在线快速身份验证 (FIDO):使用 FIDO 身份验证器,用户可以通过指纹读取器、第二因素设备上的按钮、安全输入的 PIN(通常在外部设备上)、语音识别、视网膜识别或面部识别软件等技术访问系统。
为什么要对电子邮件使用多因素身份验证?
在过去十年中,网络犯罪分子设计出越来越复杂的方法来破解您的密码,这意味着密码(无论多么强大)很快就变得不够用了。如果您的系统不提供多因素身份验证,我们建议您使用强密码(长度为 10-12 个字符,包含特殊字符、数字、大写和小写字母),切勿重复使用密码字符串,并将所有唯一密码存储在密码管理器或保险库中,它们会加密存储在本地计算机或在线的密码。因此,即使您的系统发生漏洞,黑客和其他恶意的网络行为者也无法破解您的密码。
此外,多因素身份验证降低了暴力攻击的可能性,因为其验证过程通常在单独的设备上进行,这意味着黑客必须先访问多个设备才能访问您的个人信息。大约50% 到 60% 的数据泄露直接源于登录凭证被盗,因此多因素身份身份验证是保护您的系统并使您的企业满足不断发展的合规标准的最佳方法之一。
如何实施多因素身份验证
在当今的许多现代软件门户和电子邮件客户端中,多因素身份验证要么作为标准启用,要么需要在相应界面的安全首选项中进行简单的设置更改。
MFA 的一个非常基本的应用程序是将其用于系统管理员和特权用户。然而,MFA 应该在更大范围内部署,并由您的企业(或家庭)的所有成员使用,包括他们在企业内部或国外使用的任何硬件或软件。有效的 MFA 实施应包括三个验证组件:
- 用户的东西:这是一种生物识别安全协议,例如指纹或面部识别软件。
- 用户拥有的东西:这通常是发送到移动或平板设备的短信或通知中的 OTP。
- 用户知道的某些内容:包括密码、密码短语以及只有用户才知道的个人问题的难忘答案。这里的关键问题是,上述任何内容都不应轻易猜测或从任何现有的在线信息(例如,在社交媒体上)中得出。要了解有关好的、令人难忘的答案和密码的更多信息,您可以在此处阅读我们关于密码的文章。
什么是 2FA 或双因素身份验证?
双因素身份验证,有时也称为 2FA、两步验证或双因素身份验证,是一种多因素身份身份验证,需要两种类型的验证程序,用户才能访问所需的系统。
什么是电子邮件认证?
电子邮件身份验证(有时也称为电子邮件验证)是一组旨在阻止伪造发件人发送电子邮件(也称为欺骗)的标准。最流行和最安全的电子邮件客户端倾向于使用三组不同的标准来验证传入的电子邮件:SPF(发件人策略框架)、DKIM(域密钥识别邮件)和 DMARC(基于域的消息认证、报告和一致性)。这些标准检查来自@domain.com 的消息是否确实来自所述域。
更准确地说,DMARC 用于验证“发件人”地址是否合法且显示准确,SPF 指定允许从您的域发送电子邮件的服务器,DKIM 为电子邮件添加数字签名,以便接收邮件服务器可以更轻松地验证发件人。
因此,这些标准允许电子邮件客户端更轻松地过滤和阻止来自欺骗者的垃圾邮件和钓鱼电子邮件。然而,由于这些标准是可选的,较小的电子邮件客户端不会实施它们,从而导致大量欺骗和在线伪造事件。
如何实现电子邮件身份验证
许多最受欢迎的电子邮件客户端已经将 SPF、DKIM 和 DMARC 标准作为其软件的正常组成部分实施。如果您需要在客户端上手动设置它们,则需要编辑并添加所有三个标准的额外 DNS 记录。幸运的是,这可能是一个复杂的过程,应该由具有高水平计算机知识的人或专门的 IT 专业人员来处理。
为了增加额外的安全层,无论是用于您的企业还是个人系统,我们都建议使用卡巴斯基的 VPN连接软件。VPN 允许您通过加密的数字隧道远程连接到公司的资产和服务器。当您移动时,此隧道可保护您的系统免受公共 Wi-Fi 和不安全的互联网连接的潜在危险。如果您想了解有关VPN 如何工作的更多信息,请阅读我们的专门文章。
尽管多因素身份验证方法是保护您的个人或专业系统免受恶意的行为者和其他在线威胁的最佳方法之一,但它并非 100% 安全。想要一个包罗万象、屡获殊荣的网络安全系统(具有远程协助、现有威胁清除和全天候支持功能),为您提供针对不断发展的网络犯罪世界的最佳防御,请立即试用卡巴斯基优选版。
相关文章:
推荐的产品:
