在日常生活中我们经常会听到“世界上没有一个人值得相信”这样的话。这是在人际关系中对对方感到失望或被对方意外伤害时所使用的表达方式。不仅在现实世界中，在网络安全方面也有类似的表达方式——这就是“零信任”模式。“零信任”甚至不信任使用账号和密码访问的用户，而只信任严格的身份验证并通过它授予适当的权限。

　　何为“零信任”

　　“零信任”代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”。用一句通俗的话来概括，就是“持续验证，永不信任”。默认不信任网络内外的任何人、任何设备和任何系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则，可以保障办公系统的三个“安全”：即终端安全、链路安全和访问控制安全。

　　零信任听上去很“高大上”、很“专业”的样子，其实零信任在日常生活中随处可见。其中，为账号设置“双重认证”或“多重认证”就是零信任最常见的一种应用。

　　设置多重认证的必要性

　　如今，随着以数字为中心的工作环境的逐渐建立，企业高管和员工的大部分工作都在云计算等数字环境中进行。特别是新型冠状病毒扩散后，在非接触环境下远程办公变得越来越普遍。过去，企业业务主要在内部网络进行，因此安全重点是阻止从外部侵入的攻击者。但是，在当今的工作环境下，很多企图从企业网络外部的访问也是为了业务工作，因此安全工作必须正确区分恶意攻击和正常访问。

　　授予用户访问系统权限的最基本方法是账号。用户可以使用用户名和密码登录系统，并使用所需的程序或数据。问题是在此过程中，有可能使用被盗的凭证（账号和密码）。所谓凭证被盗，是指账号和密码等被泄露，并被他人恶意利用的状态。特别是，即使不是直接从相关企业泄露，在其他网站上使用的凭证被重复使用或使用易于猜测的密码时，凭证也可能会被盗。

　　这样的事情不仅发生在企业，也经常发生在个人用户身上。这是一种安全事件，通常用“账号被黑”来形容。

　　今年8月底，美国洛杉矶一名男子冒充苹果职员，通过钓鱼的方式骗取用户苹果账号信息，并访问用户的苹果iCloud账户，导致62万张照片和9000多个视频泄漏。其中，包括大量裸照和私生活视频等。据美国联邦调查局（FBI）透露，攻击者利用“苹果备份iCloud（Applebackupiccloud）”或“备份经纪人iCloud（backupagenticcloud）”等电子邮件地址发送虚假变更登录信息的电子邮件，并诱导被钓鱼欺骗的用户输入自己的账号信息。据悉，约有4700多名受害者使用自己的账号和密码回复了电子邮件，其中至少有306人的账号确认被访问。

　　（图片来源：韩国安全新闻网站）

　　如果用户的登录凭证被网络攻击者发现，将会引发严重的后果。实际上，在“暗网”中，从购物中心、网络游戏网站、企业邮箱等众多互联网服务中泄露的用户账号和密码正在被交易。 攻击者不仅将这些获得的账号和密码输入相关服务，还会输入多种服务，从而找到有效的账户信息。

　　也许您会说，给所有账号设置不同的密码不就行了吗？但在实际生活中这种方法可操作性不强。如今，在设置密码时，通常要求我们至少包含 6个字符、大小写字母、数字和特殊字符，并且我们应该至少每月更改一次密码才算安全。为此，如果您想长期使用该服务，经常会遇到多次密码输入错误的情况，最终只能通过“找密码”功能重置密码后登录。这给用户带来了极大的不便。

　　因此，与其简单地使密码复杂多样化，使用双重认证或多重认证（MFA：Multi Factor Authentication）则更加的安全便利。如果说账号和密码是一重认证，那么除了这个方法以外，利用附加方式对用户身份再次进行验证也可以称为双重认证。双重认证的方式有很多，可以使用ARS、安全卡、一次性密码（OTP）、电子邮件、短信和应用程序等等。例如，在登录账号时，一次性密码会发送到用户预先注册的智能手机或电子邮箱中，用户必须一起输入才能最终登录；使用智能手机某应用程序时进行指纹或拍摄二维码等认证方式登录等。

　　身份认证的种类和特点

　　身份认证的种类大致可分为基于知识的认证、基于所有权的认证、基于属性的认证、基于行为的认证以及基于使用地点的认证等。

　　（图片来源：韩国安全新闻网站）

　　基于知识的认证（What I know）是目前最为普遍的一种认证方式，我们经常使用的账号和密码就属于该认证方式，修改账号信息时设置的“小时候养的小狗的名字”等问题也属于基于知识的认证。

　　基于所有权的认证（What Ihave）包括用户拥有的一次性密码、智能手机、安全卡、安全令牌等，如今智能手机和专用应用程序（PASS等私有认证书）已被普遍使用。

　　基于属性的认证（What Iam）是一种通过指纹或虹膜等人的独特特征进行身份认证的方式，一般与其他认证方式一起结合使用。

　　基于行为的认证（What Ido）是指通过某个人的重复动作或使用设备的方式等进行认证，如手写签名等多种方式正在被研究和验证。

　　基于使用地点的认证（Where you are）是指当自己拥有的设备连接到特定网络时才能得到认证的方式。例如，当智能手机连接到家里使用的路由器时，无需解锁屏幕即可立即使用；在监狱、保密部门等特殊场所要想使用GPS或移动通信时，只有在特定地点才能访问系统等。

　　这些身份认证方式一般被综合使用，特别是在具有生物识别功能的智能手机普及的今天，这种趋势正在进一步扩大。例如，如果您想使用账号和密码登录网站，就会通过安装在智能手机上的专用应用程序发送相关认证批准信息。在此过程中，已经使用了基于知识的认证和基于所有权的认证。特别是，如果为了执行认证用应用程序，在解锁智能手机或解锁应用程序时使用了指纹识别，就等于增加了基于属性的认证。

　　像这样，随着身份认证使用的要素类型和步骤越来越多，通过简单的密码泄露来窃取账号就会变得越来越困难。例如，即使网络攻击者意外获得了用户的账号和密码，如果没有用户智能手机也无法执行身份验证应用程序；即使智能手机被盗，也无法通过指纹解锁（基于属性的认证）。因此，即使您的凭证被盗，也可以保护您的账号和信息安全。

　　结语

　　就像前面所提到的那样，日常生活中我们经常听说或亲身经历过“账号被黑”的事情。例如某人银行账户里的上百万资金不翼而飞；有人擅自修改了您的QQ密码；我们有时会收到有人在异地试图登录您的电子邮箱或银行账号的警告通知等。特别是随着新型冠状病毒疫情的扩散，数字服务的使用量激增，账号信息泄露的风险正在增加。

　　那么我们该如何更好地保护我们的账号安全呢？预防账号被黑，请从设置多重认证开始！

　　我们使用的电子邮箱和银行账户等主要服务都支持多重认证功能。在自己的账号设置中一旦启用多重认证，他人就无法轻易进行非法登录。并且如果发生有人试图非法登录账户时，系统就会告知用户，以便用户可以及时更改密码等采取安全措施。大部分服务在登录后可以在账户设置项目中找到“安全设置”或“安全”等菜单，进行多重认证的相关设置。如果您没有设置，建议现在就设置。