創(chuàng)見干貨：密碼太長記不住，密碼太簡單又容易被黑客攻擊。普通人的生活被黑個賬號也許無傷大雅，但涉及到企業(yè)郵箱等商業(yè)秘密，一旦資料泄露那后果不堪設想。為了解決這些問題，Duo security 公司，一家專注企業(yè)移動安全的公司，開發(fā)了雙重驗證系統(tǒng)。幫助用戶輕松登陸，也一定程度降低黑客攻擊的風險。

　　昨天我（原文作者）妻子的 Gmail 賬戶被黑客給黑了。我最后幫她把賬戶找回了，但花了我一個小時時間而且差點就沒法恢復賬號。如果這種事發(fā)生在你們公司的企業(yè)郵箱上，那后果就不單單是花費某人的一個小時時間這么簡單了。

　　在我?guī)臀移拮踊謴唾~號后我做了一件事（當然也是你們應該做的）：我給企業(yè)郵箱賬號設置了雙重驗證。

　　雙重驗證不像只需輸入用戶名和密碼來登陸那么簡單，通常是需要通過短信或你的手機上的應用來發(fā)送驗證碼給你，但也可以通過生物數據來驗證——比如可以用 iPhone 上的指紋感應在 Apple Pay 上付款。

　　我只花了 1 分鐘就給我妻子的 Gmail 賬戶設置好了雙重驗證登陸，這至少比做生意要簡單多了吧？為了設置這個雙重驗證，我求教了企業(yè)移動安全公司（Duo security）安全調研部的主管 Steve Manzuik（以下用 SM 代替）。

　　我：正如我妻子的例子所示，安全環(huán)節(jié)通常是公司在遇到問題后才會考慮的事情。最近幾樁大型黑客事件（最后通過設置雙重驗證才防止損失加重）涉及的行業(yè)大亨包括蘋果公司（名人照片由 iCloud 外泄）、Bitly（短鏈服務提供商，縮短你的網址鏈接使之更易被分享，譯注）、印象筆記、甚至是投資銀行摩根大通。這些公司在被黑后估計都為沒有事先設置雙重驗證登陸而后悔不迭�，F在問題來了，我們到底該如何勸說那些企業(yè)未雨綢繆為安全問題做些準備？

　　SM：這些公司應該重視安全問題的原因有若干個，其中有些原因很顯而易見，而有些卻往往被人們所忽視。

　　首先，在出現黑客問題后，你們公司的董事第一個想要責備的人不是 CIO 也不是 CISO（首席信息安全部部長），而是 CEO。

　　資料泄露已經不僅僅是技術問題了。他們關系到商業(yè)的核心問題。根據最近紐約證券交易所和安全公司 Veracode 聯合開展的一份關于 200 家公司主管的調查表明，超過 40% 的調查者認為 CEO 應該承擔資料泄露所造成的一切不良后果。

　　其次，安全服務行業(yè)的復雜晦澀和價格昂貴已經在業(yè)內是眾所周知的。像摩根大通這樣的行業(yè)大亨每年投資 2.5 億美元——下個五年里估計要翻倍到 5 億美元——為的就是防止以后不被黑客攻擊，哪怕這些昂貴的服務和產品其后的技術涉及的只是非常簡單的數據。那我們這些行業(yè)新手該怎么做呢？

　　第三，根據報告，大多數數據泄露的發(fā)生并不是因為網絡罪犯非常老練，能用復雜的方式入侵企業(yè)電腦，而是因為人們登陸憑證遺失或被偷。是的，不會有假，你們公司現在肯定有人就把 123456 設為密碼。

　　我：好吧，那跟我們說說雙重驗證登陸到底是怎么回事。

　　SM：雙重驗證登陸要求用戶在輸入完用戶名和密碼后，進行二次驗證，以次避免黑客使用盜來的登陸憑證進行非法登陸。因為密碼是只有用戶知道的，我們還需要確保用戶得提供其他信息才能登陸，進而使黑客無計可施。

　　在過去，第二次驗證通常是靠輸入數字構成的驗證碼、智能卡或發(fā)送驗證短信到你的手機上來完成的。如今的雙重驗證得益于智能手機的推送技術，讓用戶能夠只需動動手指，在屏幕上簡單滑一下就招來一輛 Uber 的車。

　　雙重驗證通過讓你再輸入一串密碼來防止黑客通過偽造身份發(fā)送郵件（比如編造一封來發(fā)自你的銀行的郵件）來截取你的密碼從而入侵你的系統(tǒng)。使用雙重驗證會讓通過例如病毒軟件竊取你的登陸憑證的網絡罪犯進行的黑客攻擊概率降低。

　　用了雙重驗證，無論黑客用什么手法，你都能實時監(jiān)測，然后及時采取措施以防黑客進一步行動造成更大損失。

　　我：我懂你的意思了。但雙重驗證對企業(yè)來說有什么最基本的獨特賣點？

　　SM：我跟你說三點。

　　首先，雙重驗證對用戶的技術水平要求很低。

　　太多太多的安全保障步驟要求用戶在工作中做一些不自然的舉動。這些步驟對用戶強加了太多不切實際的期待，對他們要求太多。安全保障工作應該設計成簡單順手到讓用戶無需察覺就能完成的。

　　復雜的安保手段會讓人們不樂于參與，或者更糟糕的是，人們會找認為跟其相關的工具來保護密碼。這無疑會使整個環(huán)境的安全度下降。

　　復雜繁瑣是安全的大敵。

　　一個合適的雙重驗證設計方案能與將與用戶的互動降到最低，并且能在不干擾用戶日程的前提下無縫嵌入日常生活。

　　第二點，雙重驗證不需要任何 IT 管理方面的培訓。你不用復雜的 IT 程序來使之生效。

　　大多數安全問題解決途徑都與安裝和配置系統(tǒng)相關，為的是能監(jiān)控管理安保步驟，所以就不用考慮把預算花在昂貴的外聘專家上，讓他們給你提供實時維護、監(jiān)控和客制化服務了。

　　總而言之，為了運行一個完整的安全保障系統(tǒng)，一些組織不得不雇傭額外的內部安全團隊，斥巨資在用戶培訓上。這些做法的效率都很低下，而且這些信息技術不消一年可能就過時了。

　　如今的雙重驗證系統(tǒng)不需要對用戶專業(yè)化培訓，也不需要昂貴的咨詢費。而且，雙重驗證不僅僅是曇花一現的安全科技狂熱，它是歷經數十年的安全保障的最佳方案，是具有前瞻性的。

　　最后一點，雙重驗證能簡化密碼設置的政策。

　　人們一度試圖設置復雜難猜的密碼來防止被盜，安全保障行業(yè)還特別地為高保密強度的密碼擬定了一個標準的規(guī)范。

　　歷時數年，這個高強度密碼規(guī)范鼓勵人們用起了前所未有復雜的密碼。如今的用戶，普遍上不僅為想出一個所謂的「高保密強度密碼」感到頭疼，他們也沒指望自己能記住這些密碼。

　　用戶們都是如何反應的？正如你一樣，大多數人把他們「高保密強度密碼」寫下來，然后隨手扔在旁邊，或者他們?yōu)閳D方便就在各個網站都同一個密碼。這種只需記住一種密碼的做法，使他們更容易被網絡罪犯給一舉攻破防線。

　　這些情況反復發(fā)生，但實際上大可不必這樣。

　　為什么公司們會在被黑客攻擊后轉向使用雙重驗證系統(tǒng)？很簡單，因為費用低，他們可以承擔。而且還能夠阻止大量的黑客入侵你的電腦獲取寶貴數據。

　　但是人們最好還是在資料泄露之前就做好準備，看看雙重驗證系統(tǒng)是否適合你的公司。在經歷了公司與黑客斗爭的20年歷史后，我認為這是保護你的公司信息安全的最好方式了。