数字经济的飞速发展和其内涵的不断丰富,已经渗透到各类经济活动以及人们日常生活的方方面面。但数据安全形势却日益严峻,防范数据安全风险、构建数据安全保护体系、强化互联网市场监管的重要性日益凸显。其中,网络弱口令导致的数据安全问题可以说一直以来都是各个企业面临的颇为头疼的事情。
深耕企业数据管理服务的知名NAS厂商——群晖于今年全新升级了DSM 7.0操作系统,其中一项重要升级就是针对“网络弱口令”问题而研发的免密登录Secure Signln,并FIDO 2。借助指纹、人脸识别等不易被复制的生物特征,将手机批准登录、macOS Touch ID、Windows Hello以及USB安全密钥作为验证机制,从而实现真正的免密登录群晖NAS。
“弱口令”的普遍存在给数据带来巨大的安全隐患
如果看过《蜘蛛侠3:英雄无归》的朋友,应该对里面的一个梗非常熟悉,身为斯塔克工业公司安全主管的哈皮,他的手机验证password居然就是“password”,这里面说的就是一个“弱密码”或者“弱口令”的问题。事实上,因为帐户密码过于简单而造成的信息泄露事件,比比皆是。从这些数据泄露事件中我们发现,人群规模大小不等,少则几万多则上千万,且被泄露的数据,内容维度多内容详尽,横跨医疗、教育、金融等多个行业。而最大的数据泄漏原因,依旧是系统配置不当,包括身份验证和密码薄弱。
根据《我国公众网络安全意识调查报告》显示,被调查者中定期更换密码的仅占18.36%,而遇到问题才更换密码的被调查者占比64.59%,另外17.05%的被调查者从来不更换密码。
与此同时,根据splashdata的调查统计显示,排名前三的弱密码仍是123456、123456789和qwerty(键盘顺序),这些都是典型的弱口令,也是最容易被攻击的目标。
除了一般性的密码登录,还很多其他的登录方式,比如短信验证、电脑的人脸识别、指纹登录,扫描授权登录,银行等经融机构的USB密钥登录。你会发现,免密登录如今已经越来越普及,大家最为熟悉的免密登陆方式之一就是短信验证码。然而,短信验证虽然比输入密码更安全,但是短信有被劫持、爆破风险。在企业数据管理领域深耕多年的群晖,出于同时满足用户帐户登录安全性和便捷性的需求,推出了全新登录方式Secure Signln。Secure SignIn 除了不需要用户输入密码,采用端到端加密技术,可以避免信息在传输的过程中被劫持。另外,Secure SignIn采取长密钥并且有验证输入时间限制,大幅降低爆破可能性。现在,你们办公室或家中的NAS设备也有了更安全的免密登录方式。
群晖为NAS推出免密登录新方式,兼具便捷性与安全性
2021年,群晖DSM 7.0终于上线,除了带来全新的UI界面,以及很好用的Active Insight、企业协同套件Drive、新一代照片管理套件Photos之外,免密登录Secure Signln便是其中一项重大升级,而且它支持FIDO 2这一目前世界上公认安全的登录标准,解决了传统密码安全性不足的问题。
通常企业不少员工会使用容易记忆的数字或字母作为系统登录密码,比如连串的数字、姓名+生日、键盘字母连排等,但这种口令强度很低,很容易被猜测或被暴力破解。而自动生成的密码虽然强度很高,但却很难记忆,并且当在公用设备上登录时也有被攻击的风险。除了密码,不少系统还会借助短信验证码登录,但如果验证码未设置有效时间,或是验证码被劫持,系统一样有被攻破的风险。
FIDO 2是一套在线快速身份认证标准,以非对称算法为基础,支持多种验证方式。目前,很多科技、互联网企业、金融机构等都支持FIDO 2,比如闸机、门禁考勤用的人脸识别,用支付工具进行转账、付款时需要使用指纹验证、刷脸支付等。群晖在DSM 7.0中通过支持FIDO 2认证模式,借助指纹、人脸识别等不易被复制的生物特征,将手机辅助登录、macOS Touch ID、Windows Hello以及USB安全密钥作为验证机制,让你通过免密的方式更加便捷、安全、高效地登录到NAS上。
软硬件免密登录适应不同使用场景
免密登录,多种凭证登录NAS设备
群晖推出的免密登录方式分为两种:Secure SignIn的软件登录,以及支持FIDO 2的硬件认证。
软件验证,是以Secure SignIn将手机作为DSM帐号的钥匙来使用,通过Secure SignIn移动端App,将手机绑定为免密登录的设备,当需要登录DSM时,无需输入密码即可在手机上通过验证进行登录。这样一来,在公用设备上,如果不想输入密码,你只要留下登录记录,就可以选择手机验证登录。这样不仅避免在公用设备上输入密码而存在被破解的风险,并且也避免了由于密码单一简短的泄露隐患,此外还简化了身份验证流程。而硬件验证方式适合有较高安全需求的企业,需要通过HTTPS使用域名登录NAS,借助电脑内置的指纹、人脸识别密钥等来完成免密登录。因此,不论是软件还是硬件验证,都能更好提升登录安全。
灵活搭配,双重验证满足更高安全机制
对于安全性有着更高需求的企业来说,大都采用2步骤验证的方式,也就是在密码的基础上,额外输入一组一次性的具有简短效期的数字密钥,也就是OTP动态验证码。群晖DSM 7.0做了全新的优化和升级,支持可以自由搭配登录方式。OTP动态验证码也集合到Secure SignIn App中,可以灵活搭配双重登录方式。用户在输入密码后,可以在OTP动态码、软件验证、硬件验证选择其一,作为第二重登录保护。对于研发、金融等行业,系统登录安全等级较高,移动设备及电脑均为统一采购的公用设备,有明确的密钥口令,以此防止可疑人员恶意破解。再比如一些敏感性较高的研发文档,在登录Drive客户端时,可以使用双重验证,来增强登录防护。
备份登录密钥,异常登录实时通知
很多人还会有这样一个疑惑:一旦手机遗失,是不是意味着我无法再次使用NAS?在这方面,群晖也提供了很好的解决方案。Secure SignIn App可以将OTP配置文件和批准登录帐户自动备份到Synology帐户,当手机遗失时,首先移除遗失的手机设备,并且在新手机上还原备份帐户和配置文件即可。此外,当发生可疑登录行为,或某个IP登录失败多次,还会通过邮件和Secure SignIn App发送通知。企业系统运维人员还可以查看登录日志,并设置IP黑白名单来及时保护系统安全。
多年深耕企业级NAS存储服务器市场的群晖科技,不仅拥有从桌面型到机架型丰富完备的NAS产品线,而且在操作系统及软件功能细节上不断打磨升级。群晖推出的Secure Signln免密验证新方式,提供全新的软、硬件免密验证登录,以及灵活搭配的双重验证,还具备登录秘钥备份功能、异常风险预警等功能,从而避免了系统因弱口令而被破解的风险,为您便捷登录NAS设备及保护数据安全提供了更加智能可靠的解决方案。