发布日期:2025-04-02 22:10 点击次数:173
专业的股票配资
HaveIBeenPwned.com(HIBP)是一个知名的密码泄露查询网站。人们只需要在 HIBP 网站输入自己的账号或邮箱,即可查询这些账号的密码是否泄露。Troy Hunt是HIBP的创始人。最近有报道称,Troy Hunt自己的密码也泄露了。
事情是这样的:Troy Hunt使用订阅邮件服务提供商Mailchimp向16000名订阅者提供消息发布服务。黑客冒充Mailchimp发送了一封钓鱼邮件,谎称 Mailchimp收到关于其个人博客邮件订阅的垃圾投诉并导致邮件发送权限受限。Troy Hunt并未仔细检查邮件发送人就点击了邮件中所附的链接,然后在钓鱼网站输入了自己的账号密码,还把二次认证的验证码从自己所使用的密码管理器1Password复制粘贴过来(事后,Troy Hunt辩称自己当时正在倒时差,很疲惫)……后来,黑客从Troy Hunt的Mailchimp账号导出了所有订阅者的电子邮箱地址。
本次事件不会导致HIBP的数据泄露,只是订阅Troy Hunt邮件的用户的人接下来可能要提防冒充Troy Hunt的电子邮件。可谓“伤害性不大,侮辱性极强”。
LastPass是一款与1Password用途类似的密码管理器。它的特点是以浏览器扩展的形式使用,当你登录任何一个网站,它就会提示你保存登录信息,并在云端自动同步,以后访问该网站时它就会自动为你填写登录表单,免除记忆账号密码并手工输入的麻烦。然而,LastPass曾经披露,该公司遭受了“二次协同攻击”。攻击者使用了首次入侵时窃取的信息,还利用了第三方媒体软件包中的远程代码执行漏洞,在一名高级DevOps工程师的计算机上安装了键盘记录器,成功窃取了员工在完成多因素身份认证(MFA)后输入的主密码(master password),借此获得了对LastPass企业密码保险库的访问权限。
“等保2.0”(国家标准GB/T 22239-2019)规定,等保三级及以上系统“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现”。其中的“密码技术”指的不是上文的“密码”,而是“采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务”(《中华人民共和国密码法》)。上文的“密码”等同于“应采用口令、密码技术、生物技术等”中的“口令”。由此可见,我国已经意识到了口令的脆弱性。
动态口令是一种基于密码技术的一次性口令机制。用户无需记忆口令,也无需手工更改口令,口令通过用户持有的客户端器件生成,并基于一定的算法与服务端形成同步,从而作为证明用户身份的依据。动态口令系统可通过RADIUS、PAM等流行框架与应用对接,与已有的口令机制一道形成多因素认证(MFA)。在企业部署动态口令系统,为信息系统、服务器和网络设备增加动态口令作为第二因素认证,构建“口令+动态口令”的多因素鉴别机制,不仅能满足等保2.0要求,而且能有效缓解弱口令带来的安全风险。
飞天诚信(300386)动态令牌身份认证系统和动态令牌(OTP)均已获得网络安全专用产品安全检测证书和商用密码产品认证证书。特别是动态令牌OTP,获得了(截至目前唯一的)商用密码产品安全二级证书,能够同时满足等保和密评(GB/T 39786)的第三级要求。
FIDO联盟致力于安全强度更高、使用更方便且更易于部署的身份鉴别(simpler stronger authentication),制定了FIDO UAF、FIDO U2F、FIDO2等一系列“无密码”(passwordless)标准,帮助减少全球对密码(口令)的过度依赖。FIDO联盟成员包括谷歌、微软、苹果、三星、ARM、Intel等等。来自世界各地的数百家技术公司和服务提供商在FIDO联盟和W3C的合作下创建了基于密码技术的“无密码”登录标准(WebAuthn),该标准已经被数十亿设备和所有现代网络浏览器所支持。
飞天诚信于2014年加入FIDO联盟,目前是FIDO联盟董事会成员。飞天诚信积累了丰富的“无密码”身份认证经验,FIDO硬件安全密钥(FIDO Security Key)全线产品通过FIDO认证,其安全性能够满足NIST SP 800-63B中最高级别(AAL3)的要求。用户可以通过USB-A、USB-C接口、NFC或BLE接口将FEITIAN FIDO Security Key连接到电脑或手机,快速、安全地完成账号登录或单点登录。飞天诚信FIDO系列产品现已支持Google、AWS等众多在线服务。
密码技术作为保障网络与信息安全的重要基石,其在确认信息真伪、鉴别来源方面的作用愈发不可替代。与此同时,密码泄露事件频发,传统口令管理方式已难以为继。无论是基于动态口令的多因素认证,还是“无密码”登录标准,密码技术都为身份认证提供了更安全、更便捷的选择。飞天诚信致力于将“无密码”理念贯彻到底,为用户构建更安全的数字身份认证体系,减少对传统口令的依赖。
拥抱更先进的身份认证技术,不仅是应对网络安全威胁的必要之举,更是迈向未来数字安全的重要一步。让我们共同探索“无密码”时代的无限可能专业的股票配资,为网络安全注入新的活力。
上一篇:炒股指平台杠杆 永东股份: 关于“永东转2“2025年付息的公告
下一篇:期货杠杆交易 2025年4月2日安徽六安市裕安区紫竹林农产品批发市场价格行情