近期,某大学副院长在工作群中误发布不雅信息、并谎称被盗号的新闻冲上热搜。除了谴责当事人老谭的师德外,大家对其账号被盗的可能性也触发了深层次的技术讨论。
是啊,现代的人生,谁还没有几个账号——
个人账号被盗,对方看重的,可能是你的财产;
工作账号被盗,对方瞄准的,可能是你公司的信息、数据、声誉。
因此,我们有必要审视一下自己的工作账号够安全吗,是否也处在被恶意盗用的风险之中呢。
01 你的账户密码够安全吗
很多企业 IT 管理员都会针对用户账户安全设定密码策略,例如用户密码需要3个月更换一次、密码的最小长度,以及密码是否要包含数字、字母或特殊字符等。
一定要遵循企业设定的密码管理策略,不要想任何投机取巧的方法,因为我们都不喜欢密码(包括你、我,还有为我们提供支持的 IT管理员),但是在这个世界上,唯有攻击者超级喜欢你的密码。
但是,如果你的密码设置成下面这个样子——唉,还是算了,这简直是对攻击者智商的污蔑。
当然,借助 Azure AD 提供的“密码保护”策略,可以防止攻击者猜测你的密码,一旦到达锁定阈值,你的账户将自动锁定,不允许登录 Microsoft 365 及其他关联的应用。并且,企业 IT 管理员也可设置禁用的密码列表,不允许用户设定那些常见的、易受到攻击的密码。
02 谨防钓鱼攻击骗取账号
虽然企业 IT 管理员为用户设置了密码保护策略,但就怕用户将自己的身份拱手相让,因为钓鱼攻击愈演愈烈,防不胜防。
网络钓鱼(Phishing)是犯罪分子最常实施的网络攻击方式,也是最容易让用户上当的欺诈形式之一。攻击者通过电子通信(电子邮件、短信、社交媒体等)诱导用户通过点击链接来泄露敏感信息、或下载恶意附件感染其网络。
而欺骗性网络钓鱼是迄今为止最常见的网络钓鱼诈骗类型。攻击者冒充合法公司,试图窃取用户的个人数据或登录凭据。当用户单击钓鱼邮件中的 URL 地址时,攻击者提供一个虚假的登录界面,提示用户输入他们的用户名和密码。
其实只要有一些网络安全意识,并稍加留意,你就会发现这个登录窗口的网址是十分异常的。
为了避免企业用户遭受网络钓鱼攻击,企业 IT 管理员可以在 Microsoft 365 Defender 安全中心启动“反网络钓鱼”威胁策略。默认情况下,Microsoft 365内置的威胁防护策略可帮助保护企业用户免受网络钓鱼攻击。
因此,谨防钓鱼攻击,除了用户自己要培养自身的安全意识外,企业信息安全的管理策略也是防护的关键。
关于钓鱼攻击的预防建议,请参考“BTIC Services”往期文章:《千万不要点那封电子邮件》
03 不容忽视多重身份验证
多重身份验证(Multi-Factor Authentication,MFA)是企业 IT管理员为我们开启的保护身份凭据的安全策略,它要求你在登录企业的业务环境时,根据业务影响度,至少需要两个或两个以上的因素来验证你的身份(例如 PIN 码、电话呼叫、手机短信、验证器口令、生物技术等)。
在 Microsoft 365 应用环境中,强烈建议企业 IT 管理员开启 Azure AD 服务中的“安全默认值”,它将为企业提供最基本的用户身份保护机制,包括强制要求企业用户、包括 IT 管理员必须启用并配置自己的多重身份验证方法。
当然,企业 IT 管理员也可以根据用户访问企业应用、数据的业务影响度,以及对当前用户的风险级别评估,借助动态的条件访问策略加强用户的身份验证。
试想一下,如果攻击者盗取了你的账户和密码,但在多重身份验证的机制下,对方无法拿到你的第2个身份验证响应,也就无法借助你的身份访问任何企业信息了。
因此,在企业中启用多重身份验证,可以阻止 99.9% 的身份攻击!这是绝不容忽视的用户身份保护基础安全策略。
04 自检账户登录有无异常
每位 Microsoft 365 的用户,其实都可以登录如下地址,检查自己的账号登录是否存在异常。
https://mysignins.microsoft.com/
其中将罗列出近期你自己账户的登录时间、地点、访问的应用,以及是否登录成功。
而一旦发现异常,则可在该条登录信息下,单击“看起来陌生,请保护你的账户安全”链接,汇报并标记异常的登录行为。
所以,如果你发现那些从没有到过的国家和城市有你的登录记录,你一定要小心了,及时汇报给企业 IT 管理员,以尽快找到原因和账户保护的方法。
05 企业全员身份风险保护
作为企业 IT 管理员,要有能力及时发现企业内所有员工身份的风险状态,并要依据不同的风险级别设定相应的访问策略。
在 Azure AD 管理中心的“标识保护”报告中, IT 管理员将可以看到处于风险中的员工身份统计信息。
并可对处于风险中的用户,进行深入调查,发现并判别触发风险的原因。
像这种出现在从没有到访过的国家的用户登录行为,基本可以判断用户身份凭据出现了异常,需要阻止用户登录,或提示用户尽快修改自己账户的口令或转换其他登录验证方式。
06 自助修改账户登录密码
一旦发现自己的登录账号面临被盗的可能,就要立即开始修改登录密码。
Microsoft 365 提供了用户重置密码的自服务能力,无需借助 IT 管理员,每位员工都可以根据企业安全策略,自行对自己的登录密码进行修改、重置。
在重置密码的过程中,将依据你在企业中预留的身份验证方式,确定执行修改密码的人是你自己本人。
07 采用无密码身份验证机制
你一定发现,如果你的身份只依赖用户名和密码进行保护,是十分危险的;而如果增加了多重身份验证(MFA)策略,虽然身份的安全性得到了保障,但实际操作起来会显得繁琐:需要先输入用户账号和密码,然后再通过其他设备获得或验证你的身份。
所以,众多企业在寻求一种对用户而言即便捷、又高度安全的身份验证机制,这就是无密码(Passwordless)身份验证。
无密码(Passwordless)身份验证旨在借助你自己的持有物或生物特征完成身份确认,而不是再通过你的账户密码识别。
无密码身份验证比传统的密码验证更安全。很多员工不想记住不同的密码,所以每次都用相同或相似的数字和字母作为密码。只要攻击者找到其中一个,就肯定会通过密码喷洒、凭证填充或网络钓鱼攻击破解更多密码。但如果根本没有密码可以破译,黑客也束手无策。
无密码身份验证对员工来说也更方便。无密码身份验证根据员工的持有物或生物特征授予员工访问应用的权限,免去了记住密码的麻烦。员工可以出示验证码、安全令牌或生物特征快速登录设备,不用再担心忘记密码的情况。
无密码身份验证还能节省时间和成本,运维不用再提醒员工每月更改密码或处理与密码相关的大量支持请求。
Microsoft 365 应用环境也为企业提供了无密码身份验证的机制和策略,企业 IT 管理员可以配置企业级 Windows Hello(人脸识别、指纹识别或 PIN 码)、Microsoft Authenticator 应用验证器、FIDO2 安全密钥,或直接使用用户自己的手机号码和短信验证码进行登录。
试想一下,如果攻击者拿不到你的指纹等生物特征,或者拿不到你自己的手机,他如何能够盗取你的身份呢?
这些无密码身份验证策略与方法,均可在 Azure AD 中为用户开启。
关于无密码(Passwordless)身份验证的方案实施建议,可参考“365学院”在线课程:
《深入探究:无密码身份验证实施方案》(链接:http://www.51cie.net/LiveTraining/Recording.aspx?tcid=1176)
看完有什么想法快来评论区一起交流吧,原创不易,不要忘记点赞呦!
本文由 BTIC Services 原创发布,也可在生产力工坊 查看更多。
,
