账号安全.doc

账号安全如何保护企业账户安全, 防止商业信息泄露是一个挤压很久的问题, 现在各大公司各有奇招, 有的禁用 QQ YY 等常规的聊天工具, 网站访问受限, 在局域网搭建 OA 类似的沟通工具,安全性有所提高,但是如果电脑中毒,账号丢失后,商业信息还是会泄露的。最好的办法就是在企业办公系统登陆和关键操作的地方,在登陆的时候植入号令手机令牌, 在登陆的时候实现双因素验证,最大程度保护账号安全。 2011 年末爆发了中国互联网史上最为严重的网站数据泄漏事件,很多中招用户开始修改自己的密码, “今天你改密码了吗?”成了最流行的网络问候语,很多用户都在抱怨改密码改到手软。想起互联网刚刚在国内兴起时候的一个名词:“网上冲浪”,现在看来,如今的互联网用户依然是在用一个账号+一个密码在互联网上肆无忌惮的“冲浪”。随着黑客技术的不断进步,这种传统的账号+ 密码的身份验证方式是否依然适合今天的互联网? 1、传统“账号+密码”身份验证方式的优缺点传统的“账号+密码”身份验证方式中提及的密码为静态密码,是由用户自己设定的一串静态数据,静态密码一旦设定之后,除非用户更改,否则将保持不变。陈达谈到,这也就导致了静态密码的安全性缺点, 比如容易被偷看、猜测、字典攻击、暴力破解、窃取、监听、重放攻击、木马攻击等。为了从一定程度上提高静态密码的安全性,用户可以定期对密码进行更改,但是这又导致了静态密码在使用和管理上的困难, 特别是当一个用户有几个甚至几十个密码需要处理时,非常容易造成密码记错和密码遗忘等问题,而且也很难要求所有的用户都能够严格执行定期修改密码的操作,即使用户定期修改,密码也会有相当一段时间是固定的。从总体上来说,静态密码的缺点和不足主要表现在以下几个方面: (1) 、静态密码的易用性和安全性互相排斥,两者不能兼顾,简单容易记忆的密码安全性弱,复杂的静态密码安全性高但是不易记忆和维护; (2) 、静态密码安全性低,容易遭受各种形式的安全攻击; (3) 、静态密码的风险成本高,一旦泄密将可能造成最大程度的损失,而且在发生损失以前,通常不知道静态密码已经泄密; (4) 、静态密码的使用和维护不便,特别一个用户有几个甚至十几个静态密码需要使用和维护时,静态密码遗忘及遗忘以后所进行的挂失、重置等操作通常需要花费不少的时间和精力,非常影响正常的使用感受。因此,静态密码机制虽然使用和部署非常简单,但从安全性上讲,静态密码属于单因素的身份认证方式,已无法满足互联网对于身份认证安全性的需求。 2、企业/个人到底需要什么样的身份验证方式? 无论是确保个人信息的隐私性,还是企业保护核心数据的安全性,采用全新的身份验证方式已经是势在必行。我们盘点了目前可以用的大部分身份验证方式,除了静态密码之外,今天可以采用的身份验证方式还有如下几种: (1) 、动态令牌动态令牌是用于产生动态口令的身份认证终端设备,它需要配合后台认证系统进行使用。动态口令也称一次性口令。动态口令是变动的口令,其变动来源于产生口令的运算因子的变化,比如时间、次数、交易金额、对方帐号、交易流水号等信息。动态口令的产生因子一般都采用多运算因子:其一为令牌的种子密钥,它是代表用户身份的识别码,是固定不变的;其二为变动因子,正是这些变动因子的不断变化,才产生了不断变动的动态口令。动态令牌简单、易用,且由于口令不断变化,口令用过之后立即