好消息是我们有许多有效的方法来防止这种针对企业的基于网页的电子邮箱的帐号暴力攻击。也许这当中最直接的策略是使用双因素认证。我们都知道通常有三种形式的认证:
1.你拥有什么?(比如一张借记卡)
2.你知道什么?(比如一个密码)
3.你的东西是什么?(比如你的指纹)
由密码所保护的基于网页的电子邮件帐号就是一种典型的单因素认证机制(即,你知道什么)。由于密码经常会被远程猜测出来或者被盗窃,所以对于限制访问的需求来说这种认证机制是一种非常低安全度的方法。
对于基于网页的电子邮件系统,我建议使用至少两个认证因素,比如使用RSA信息安全公司的硬件SecurID令牌。这些令牌就如您的手掌大小,便于携带,同时他们能在您每次登录的时候显示一个不同的登录密码。这个密码永远不会重复,而能达到与某个密码有效期间同步地进行密码猜测的几率是相当的小的。这个令牌(你拥有的)和这个个人身份号码(你知道的)结合起来之后,您只需要如通常那样输入这个个人密码即可。当然,还有很多其他的方式去实现这种双因素认证机制,比如基于软件的认证者或者基于手机的一些认证系统。
另一方面,您也可以通过限制登录尝试的次数来降低网页电子邮件帐号被暴力破解的危险(比如,在一分钟之内三次登录失败将会导致一次十五分钟的系统锁定)。这种方式可以有效地限制一个攻击者进行攻击时的猜测次数。同时,您还需要确保您拥有一个强口令规则,使得在这个规则下的密码都很难通过一般的方法被猜测到进而被检测到帐号信息。最后,如果您的系统存在一个密码复位机制,还需要确保复位密码时所使用的问题的答案的安全,即,它不应该很容易就能够通过一些公开的信息或者社会网络来获得。
.- 上一篇:在安装防火墙时需要注意的问题
- 下一篇:防范病毒和间谍软件的十大方法