有人说,现在是密码的时代,因为密码几乎无处不在,但是密码在给我们安全保障的同时,却又带了一个尴尬的问题:一旦密码丢失或被盗,会给我们带来很多的麻烦。因此,如何提升防护安全变得尤为重要。今天教大家几个简单的方法进一步提升密码防护安全。
介 绍
Ubiquiti 设备作为基础的网络设备经常会被恶意软件攻击。大多数情况下被利用攻击的客户端通常都是使用了默认密码,和账号相同的密码以及弱密码。而我们使用一种简单的措施就能避免此类攻击:唯一和随机(强)密码。
密码设置
密码的强弱是指一个密码对抗猜测或是暴力破解的有效程度。强密码可以降低安全漏洞的整体风险。一般我们会遵从一下几点设置密码。
1. 尽量使用长密码。据统计常用键一共为 95 个,一个随机长度的密码一共有 95^X 种组合,是不可能在段时间内通过全部列举来破译的。NIST(美国国家标准与技术研究院)根据研究表明一个足够长有意义的密码也会优于较短的复杂密码(字母、数字和符号的组合)。Ubiquiti 建议使用 8 位以上密码。
2. 尽量使用完全没有规律的大小写字母、数字和符号的组合。完全没有规律即没有连续性,即使使用 Shift 按 1234 也不如 1983 来的好使。并且增加一些随机字符串能立即给密码增加复杂度。
3.尽量为每个设备设置不同的密码。如果一个管理员要同事管理 100 个设备,为了方便记忆通常会设置 100 个相同的密码。这样会导致一个严重的问题,如果网络中的某个设备受到攻击,其余的 99 个设备也将沦为这一次攻击的牺牲品。
4.尽量定期修改密码(请完全更改)。根据英国国家网络安全中的研究表明“尽管大多数网络管理者会强迫用户定期更换密码,但是这通常会让用户觉得是个负担,因此一部分用户设置的新密码和旧密码的变化会非常微小。但是这样做对于盗密者而言几乎没有增加什么困难。” 因此我们建议在修改密码的使用避免使用相同的密码,也不要仅仅修改最后两位数。更改密码时,请完全更改。
5.使用密码管理器。2005 年的安全会议上,微软专家提到“如果我有 68 个不同密码,我将如何管理?写下来或者是不得不使用同样的密码。” 然而不管是将密码通过便利贴黏贴在客户端外面还是使用相同密码都是最容易泄密的举动。我们建议您在管理多个密码的时候可以使用密码管理器。常见密码管理器有:LastPass,Dashlane 和 1Password。
Ubiquiti 账户仅存储通过 hash 和 salte 加密后的值,不存储用户的密码,即使遭遇攻击从技术上盗密者也几乎无法获得正确密码。
此外另一个解决这类安全问题的办法就是启用“双因素认证(2FA)”功能,两步验证是在传统密码验证的同时,增加了其他的验证方式。
双因素认证(2FA)
双因素认证(英语:Two-factor authentication,缩写为 2FA),又译为双重验证、双因子认证、双因素认证、二元认证,又称两步验证(2-Step Verification),是多重要素验证中的一个特例,使用两种不同的元素,合并在一起,来确认用户的身份。
双因素认证 一般来说,三种不同类型的证据,可以证明一个人的身份。
秘密信息:只有该用户知道、其他人不知道的某种信息,比如密码。
个人物品:该用户的私人物品,比如身份证、钥匙。
生理特征:该用户的遗传特征,比如指纹、相貌、虹膜等等。
这些证据就称为三种"因素"(factor)。因素越多,证明力就越强,身份就越可靠。常见的使用密码登录的方式,是典型的单因素认证。与之相对,使用 两种/多种 因素对登陆尝试进行验证的方案,就叫做 双/多 因素验证。
双因素认证的几个例子:
银行卡:用户需要同时提供银行卡 密码,才能取得现金。
淘宝购物:淘宝账户密码 手机验证码,完成大于200元的购物。
为什么要使用 双因素认证(2FA)
2FA 的优点在于可以给段纯的密码登陆加一道保障。即使密码泄露,只要手机还在,账户就是安全的。各种密码破解对于 2FA 也是无效的。它保护了最常发生的一个安全问题。
如何启用双因素认证(2FA)
本文以 Google Authenticator( Google 身份验证器)为例。
1.下载 Google Authenticator ( Google 身份验证器)并将其安装到您的手机中。
2. 转到 https://account.ui.com 并登录。
3. 从左侧菜单中选择安全性。在这个菜单中,您可以更改帐户密码和登陆超时期限以及启用双因素认证。
4. 单击切换启用双因素认证。将弹出一个小的弹出窗口,其下方带有 QR 码和神秘代码。
注意:
请将神秘代码妥善保管。如果你更换手机或者误删身份验证器,再次使用此功能可以帮助您重启账户。
5.打开手机上的 Google Authenticator 应用,点击菜单,然后点击 开始设置——扫描条形码。如果您已经有其他帐户,则可以单击右上角的加号( ) ,然后 单击“扫描条形码”。
6.通过手机的“扫描”功能。扫描显示在 account.ui.com 弹出窗口中的 QR 码。
|
7.在弹出窗口中输入 Google Authenticator 提供的 6 位数身份验证令牌。
8.点击 提交。
如何创建备份验证码
启用 双因素认证后,创建一组备份验证码非常重要。如果您因某种原因无法访问身份验证器应用程序(例如丢失了手机),这些验证码将允许您解锁帐户以禁用双因素认证。
1.登录到 https://account.ui.com , 输入用户名,密码和 6 位数的身份验证令牌,登陆您的帐户设置。
2.转到安全菜单。
3.在“双因素认证”标题下,提供 Google Authenticator 应用提供的双因素认证令牌,然后点击生成新的备用验证码。
注意:生成新的备份验证码会使以前生成的所有备份验证码都过时。
4.系统会为您提供 10 个备用验证码的列表,请将其复制到安全的地方。如果有可能某人获得了您的验证码的访问权,请生成新验证码以使那些受到威胁的验证码过时。如果您无法访问双因素认证,则只需使用一个 未使用的 备份验证码。
如何禁用双因素认证(2FA)
1.转到 https://account.ui.com 并登录。
2.从菜单中选择安全性。
3.在“双因素认证”标题下,单击“ 禁用双因素认证”切换
4.在手机上使用 Google Authenticator 获取令牌,以将其填入到提供的字段中。
5.点击提交。
如何访问锁定的帐户
如果您由于更换手机,误删身份验证器应用程序或丢失手机而被锁定帐户,则可以使用以下一种方法再次访问您的帐户。
使用备份验证码重置双因素认证 2FA
- 转到https://account.ui.com,照常输入您的用户名和密码,并在提示您输入 6 位数字令牌时,改为单击 重置 2FA。
2. 现在,只需粘贴先前保存的备份验证码之一,然后单击“ 重置 2FA” 按钮。
3. 现在禁用了双因素认证。单击上一步以使用用户名和密码登录,然后按照以下步骤再次启用它。记住要创建一组新的备份验证码。
注意:
此 Google 两步验证帮助文章 中讨论了其他可能的问题和解决方案。如果您在第一次启用 2FA 时失去了对帐户的访问权限,但未生成备份验证码或保存了神秘代码,并且以上链接中的解决方案均无帮助,请通过已注册的电子邮件与support@ui.com 联系在您的 Ubiquiti 帐户上,并要求他们重置 2FA。
参考资料:
[1].https://www.quikteks.com/blog/some-interesting-stats-on-two-factor-authentication/
[2].https://www.ruanyifeng.com/blog/2017/11/2fa-tutorial.html
[3]重剑.开启两步验证 保护个人隐私[J].电脑爱好者,2014(20):54-55.
[4]万立夫.启用两步验证 保护个人信息安全[J].电脑迷,2013(09):50.
[5]夏勇峰.密码被盗?没事! 双因子认证将减轻密码失窃问题[J].信息系统工程,2007(04):65.
,