我们都知道网络诈骗是什么,例如带有恶意链接或附件的网络钓鱼邮件,或者来自伪造客服人员的诈骗电话,试图掌控的账号权限。
网络世界正在变得越来越复杂。每天都有用户信息被盗的新闻,比如今年发生了 Zoom 数十万个账号被泄漏、万豪集团的数百万住客资料泄漏、新浪微博的数亿用户资料被盗的丑闻。黑客们当然知道用户们正在使用手机进行越来越多的互联网身份认证,并抓住了这个弱点。他们正在利用这些用户信息,来窃取他们想要的一切资源。黑客得以「一网通行」,其背后可能要归咎于两步身份验证(或 2FA)。
如果你在微信、钉钉上尝试过绑定手机号,你一定通过短信形式收到过用于注册、绑定的一次性验证码。除此之外,对于一些用户数据敏感的软件服务,如 iCloud 或者支付宝,在登录时,除了输入账密之外,有时还会使用短信、邮箱作为第二次的身份验证,验证码核验过后,才能完成登录。也正因为如此,一旦发生号码、邮箱被盗事件,最先被攻击的可能是用户号码背后的数多资产。
攻击者会尝试将用户的邮箱盗取,或将号码烧录、移植到一张无法追溯到攻击者的 SIM 卡上,之后一旦能成功收到目标用户的验证信息,他们便可以方便地使用所有平台的「忘记密码了?」尝试修改密码,并通过模拟受害者的身份,来验证通过。
一次性密码(国内一般是通过短信发送)通常是企业用来改进其安全措施的 2FA 的首选形式。尽管黑客们对移动互联网的大量攻击对其构成了越来越大的威胁,但这种方法仍被认为起码算有好处的。但在最近的用户账号盗窃中,我们却发现,与其说短信验证是安全措施,不如说它是一种攻击手段。
面对这种日新月异、日益猖獗的身份认证欺诈,我们该如何保护客户和员工的信息呢?怎样做身份认证系统,才能预测和规避风险呢?更进一步的方法就是推送通知到用户绑定的设备上,而非手机号上。而实现这个,辅助身份认证的移动应用就是一种快速而安全的办法(Authing 身份云提供的「小登录」就是其中之一)。
诸如此类的更强大的解决方案,被称为多因素身份验证(MFA)。规避风险因素的公司通常都在采用 MFA 以保护数据资产,如中国石油、高等教育出版社在使用 Authing 部署全局的 MFA,以提升整体的安全性。Authing 作为完善的身份管理平台,帮助客户公司时刻监测每个身份认证点的用户登录环境,使企业内外部的所有应用都变得更加安全;无论是在云中,本地还是在混合云中,Authing 帮助了无数公司处理了员工的入职离职、用户的权限分离等身份自动化管理,以帮助公司保持安全性和合规性。
现在用于身份认证的另一个安全手段是行为分析。在对数据安全监管技术进行大量研究后,Authing 提升了针对违法数据流动等安全隐患的监测发现与处理能力,Authing 的上下文访问管理通过自动分析用户何时、何地以及如何访问应用程序,来帮助组织降低风险。组织可以根据用户身份、所连接的网络、国家地区、所使用的设备以及访问频率等,选择要求 MFA 或者拒绝访问。从而轻松保护了数字资产而又不影响正常的用户活动,真正实现了用户安全、简单地从任何地方、任何时间连接到他们所需的软件服务。
防御的每一层都很重要,正如这些号码认证的劫持案例所示,身份验证措施仅在任何一个环节都不薄弱的时候才有效。没有一种单一的身份认证方法总是会适合企业的每种情况。作为企业级的身份管理服务,Authing 不仅是软件商,更是企业的业务咨询顾问,帮助梳理企业需要加强认证服务的环节,将统一的认证服务集成在跨平台的企业系统中,实现企业的品牌登录体验、达成企业的业务目标,更保护用户和数据资产的安全。
介绍
Authing 坐落于北京五道口,公司背靠清华北大,研发团队均来自于阿里云、字节跳动、滴滴等头部公司,已获得 Plug and Play、华创资本和 PreAngel 近千万投资。是国内第一家提供用户身份管理的云服务商,为企业和开发者提供完善和安全的用户认证和访问管理服务。上线之初,就被中国信息通信研究院评选为「国内身份管理与访问控制领域创新企业」,并被录入《2019 年网络安全产业白皮书》。Authing 已经为中国石油、亚马逊云服务、埃森哲、德高集团、东南大学等国内外优秀企业打造了卓越的开发方式、高效的办公方式和安全的 IT 管理。