根據美國國家網路安全和基礎設施安全局(CISA)的數據,美國頭號網路犯罪類型是“冒名頂替詐騙”,每 5 人中就有 1 人在事件發生後報告經濟損失。需要明確的是,冒名頂替騙局本質上是一種惡意網路行為者竊取或盜用受害者身份,希望日後勒索他們(或附屬組織)的情況。而且,由於電子郵件地址通常是解鎖大多數類型的線上個人資訊(從社交媒體帳戶到遊戲伺服器和個人購物籃)的關鍵,網路犯罪分子通常會先嘗試入侵並竊取個人(或工作)電子郵件。
正是出於這個原因,近年來,世界各地的網路安全專家建議企業和個人用戶在其電子郵件帳戶(以及其他可能的地方)上實施多因素身份驗證協議。同樣,企業和個人用戶也被建議使用具有強大電子郵件身份驗證/驗證策略的電子郵件用戶端,以保護自己免受來自欺騙伺服器的網路釣魚訊息的侵擾。如果您擔心您或您的企業沒有使用多因素身份驗證協議或安全電子郵件驗證策略,請繼續閱讀以了解有關這兩者的更多資訊。
什麼是多重身份驗證?
多因素身份驗證(有時簡稱為 MFA)是一種網路安全實踐,可在使用者存取某個系統之前進行多層安全檢查。對於電子郵件帳戶,可能會提示使用者輸入以下一項或多項內容:附加密碼、安全簡訊的代碼或預定安全問題的答案。MFA 主要用於阻止駭客和其他惡意網路行為者使用被盜憑證存取線上帳戶。
其他類型的多因素身份驗證包括:
- 語音留言:向您的手機發出的安全自動呼叫,其中包含密碼或一次性代碼。
- 推播通知(有或無號碼匹配):無號碼匹配的推播通知通常採用行動或平板裝置上的通知形式,需要交互,例如要求用戶將通知中的號碼輸入線上應用程式以批准身份驗證請求。
- 一次性密碼 (OTP):OTP 是一種基於令牌的系統,可以安全地將唯一的一次性密碼發送到輔助電子郵件、手機或平板電腦。它們通常由您的電子郵件用戶端或提供者操作,並要求使用者在規定的時間內輸入一次性密碼。它們也可以由某些形式的安全硬體生成,通常由四到十二個數字組成。
- 公鑰基礎設施 (PKI):這些是使用雙密鑰非對稱密碼系統透過數位憑證加密、交換和驗證資料的底層硬體和軟體集。
- 線上快速身份驗證 (FIDO):使用 FIDO 身份驗證器,使用者可以透過指紋辨識器、第二因素裝置上的按鈕、安全輸入的 PIN(通常在外部裝置上)、語音辨識、視網膜辨識或臉部辨識軟體等技術存取系統。
為什麼要對電子郵件使用多因素身份驗證?
在過去十年中,網路犯罪分子設計出了越來越複雜的方法來破解您的密碼,這意味著密碼(無論多麼強大)都很快變得不夠用了。如果您的系統不提供多因素身份驗證,我們建議您使用強密碼(長度為 10-12 個字符,包含特殊字符、數字、大寫和小寫字母),切勿重複使用密碼字符串,並將所有唯一密碼存儲在密碼管理器或保險庫中,它們會加密存儲在本地計算機或在線的密碼。因此,即使您的系統發生漏洞,駭客和其他惡意網路行為者也無法破解您的密碼。
此外,多因素身份驗證降低了暴力攻擊的可能性,因為其驗證過程通常在單獨的設備上進行,這意味著駭客必須先存取多個裝置才能存取您的個人資訊。大約50% 到 60% 的資料外洩直接源自登入憑證被盜,因此多因素身分驗證是保護您的系統並使您的企業滿足不斷發展的合規標準的最佳方法之一。
如何實施多因素身份驗證
在當今的許多現代軟體入口網站和電子郵件用戶端中,多因素身份驗證要么作為標準啟用,要么需要在相應介面的安全首選項中進行簡單的設定更改。
MFA 的一個非常基本的應用是將其用於系統管理員和特權使用者。然而,MFA 應該在更大範圍內部署,並由您的企業(或家庭)的所有成員使用,包括他們在企業內部或國外使用的任何硬體或軟體。有效的 MFA 實施應包括三個驗證組件:
- 使用者的東西:這是一種生物識別安全協議,例如指紋或臉部辨識軟體。
- 使用者擁有的東西:這通常是發送到行動或平板裝置的簡訊或通知中的 OTP。
- 使用者知道的某些內容:包括密碼、密碼短語以及只有使用者才知道的個人問題的難忘答案。這裡的關鍵問題是,上述任何內容都不應輕易猜測或從任何現有的線上資訊(例如,在社交媒體上)中得出。要了解有關好的、令人難忘的答案和密碼的更多信息,您可以在此處閱讀我們關於密碼的文章。
什麼是 2FA 或雙重認證?
雙重認證,有時也稱為 2FA、兩步驟驗證或雙重認證,是一種多因素身份驗證,需要兩種類型的驗證程序,使用者才能存取所需的系統。
什麼是電子郵件認證?
電子郵件認證(有時也稱為電子郵件驗證)是一組旨在阻止偽造寄件者發送的電子郵件(也稱為欺騙)的標準。最受歡迎和最安全的電子郵件用戶端傾向於使用三組不同的標準來驗證傳入的電子郵件:SPF(寄件者策略框架)、DKIM(網域金鑰識別郵件)和 DMARC(基於網域的訊息認證、報告和一致性)。這些標準檢查來自@domain.com 的訊息是否確實來自所述網域。
更準確地說,DMARC 用於驗證「寄件者」地址是否合法且顯示準確,SPF 指定允許從您的網域發送電子郵件的伺服器,DKIM 為電子郵件添加數位簽名,以便接收郵件伺服器可以更輕鬆地驗證寄件者。
因此,這些標準允許電子郵件用戶端更輕鬆地過濾和阻止來自詐騙者的垃圾郵件和網路釣魚電子郵件。然而,由於這些標準是可選的,較小的電子郵件用戶端不會實施它們,從而導致大量欺騙和線上偽造事件。
如何實作電子郵件身份驗證
許多最受歡迎的電子郵件用戶端已經將 SPF、DKIM 和 DMARC 標準作為其軟體的正常組成部分實施。如果您需要在用戶端上手動設定它們,則需要編輯並新增所有三個標準的額外 DNS 記錄。幸運的是,這可能是一個複雜的過程,應該由具有高水平電腦知識的人或專門的 IT 專業人員來處理。
為了增加額外的安全層,無論是用於您的企業還是個人系統,我們都建議使用卡巴斯基的 VPN連接軟體。VPN 可讓您透過加密的數位隧道遠端連接到公司的資產和伺服器。當您移動時,此隧道可保護您的系統免受公共 Wi-Fi 和不安全的網路連線的潛在危險。如果您想了解有關VPN 如何工作的更多信息,請閱讀我們的專門文章。
儘管多因素身份驗證方法是保護您的個人或專業系統免受惡意行為者和其他線上威脅的最佳方法之一,但它並非 100% 安全。想要一個包羅萬象、屢獲殊榮的網路安全系統(具有遠端協助、現有威脅清除和全天候支援功能),為您提供針對不斷發展的網路犯罪世界的最佳防禦,請立即試用卡巴斯基專業版。
相關文章:
推薦產品
