在本周的云计算安全讨论会上,三位资深安全专家——惠普高级安全战略师Rafal Los,Qualys首席技术官Wolfgang Kandek和CloudPassage首席安全顾问Andrew Hay,一致认为目前阶段任何一种联网设备和网络账户都有可能被黑客入侵,最好的安全防范措施就是立刻启用多重身份认证。
三位专家提到了最近轰动一时的连线杂志记者Honan的案例,Honan的遭遇暴露出亚马逊云、苹果iCloud等公有云服务的严重安全漏洞。黑客首先通过亚马逊云服务获得Honan的苹果账户,成功进入Gmail账户并从中获取了Twitter账号。如果Honan使用了Gmail的双重认证,黑客就不会得手——攻破Twitter账号并发布不法信息。
多重身份认证最常见的应用就是Google账户的双重认证,如果你拥有一个Google账户,可以在手机里安装Google Authenticator身份认证器(支持Android、iOS和BlackBerry设备),每次上网需要输入Google账户密码时,还必须同时输入手机上的身份认证器生成的动态密码。这种方式可以最大限度确保账户安全,以及与账户关联的信息和资产的安全。
CloudPassage的首席安全顾问Hay认为:
目前所有的密码都已经不再安全(编者按:即使你的密码强度很高,但是架不住国内外各大网站隔三差五的泄露用户数据)。只有多重认证才是现阶段唯一可行的主流安全技术。
Qualys的Kandek进一步指出,所有的网站和服务都应当启用多重身份认证。
多重身份认证应该从企业还是个人用户开始?
惠普和Qualys的专家一致认为应当从企业用户开始实施多重身份认证,主要是因为企业可以强制要求雇员执行新的安全政策。而消费者则怕麻烦,也很难说服,无论问题有多严重,新的方法有多好,都没有用。
但是CloudPassage并不同意前两位的看法,他认为应当教育消费者使用多重身份认证工具,因为相比企业里的员工,消费者的网络安全处境更加危险。