热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

数字账号安全与数据资产问题的研究及解决方案

本文研究了数字账号安全与数据资产问题,并提出了解决方案。近期,大量QQ账号被盗事件引起了广泛关注。欺诈者对数字账号的价值认识超过了账号主人,因此他们不断攻击和盗用账号。然而,平台和账号主人对账号安全问题的态度不正确,只有用户自身意识到问题的严重性并采取行动,才能推动平台优先解决这些问题。本文旨在提醒用户关注账号安全,并呼吁平台承担起更多的责任。令牌云团队对此进行了长期深入的研究,并提出了相应的解决方案。

此前,一则「QQ用户反映自己账号被盗」一事被冲上了微博热搜,对此事还不熟悉的读者可参考如下两篇文章报道,点击查看:1-《腾讯QQ回应“大量账号被盗”》,2-《就因为QQ登录二维码,全网发生了大规模的社死qq主显账号。。。》()。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

从报道中可以看到,数字账号在欺诈者眼中的价值,要比账号主人原以为的更大,能发挥出千奇百怪的功效qq主显账号。因此,欺诈者们会始终研究着如何攻克防线、盗用账号,而平台和账号主人如若不与时俱进,结果就是突然有一天“社死”。但古语说得好,只有千日做贼,哪有千日防贼的道理?如果不从根本的机制上解决该问题,就只能是必败的结局了。

本文着重要说的是平台对用户账号的安全责任qq主显账号。从现状来看,无论大厂小厂,在平时更多采用鸵鸟政策、得过且过,遇到问题时则极力陈述自身的无奈、适时暗示用户使用不当。这种方式和态度是不对的,不仅于事无补,而且会让恶性循环永远这么下去。

但,最该为此担忧并率先作出行动的,却只能是用户自身qq主显账号。对于发生了某某用户账号被盗的平台,大部分人的选择往往是熟视无睹、赞同平台宣布的某某用户“自身管理不善”的原因,事实上也就纵容了平台继续不作为,直到有一天这样的事件终于发生在自己头上。而另一方面,没有用户侧的群体压力,平台当然也就没有足够的动力来优先解决这些零零星星的问题,直到有一天爆发出大面积事件,最终共同受损。

令牌云团队对此有着较为长期深入的研究和理解,最终得出结论:当前的账号安全弊病已经无法依靠简单的安全补丁来解决了,需要从技术模型到管理理念上都进行彻底的革新,才能保障用户在未来的数字世界中,敢于创造和保管越来越多的数据资产qq主显账号

1

首先,直接送上对应本次 QQ 事件的应对解决方案,免得我们也沦为只说不做的批评家qq主显账号

本次事件之所以令人“震惊”,是因为业界和用户都已经形成了“公共网络不安全、扫码登录最安全”的印象,对手机 App 扫码进行 Web 端、 PC 端登录的闭环安全深信不疑qq主显账号。然而,就这么被欺诈者轻轻松松用替换二维码的方式给攻破了,信任碎了一地。

撇除腾讯 QQ(其他大厂也一样)自身的技术实力不强、代码实现不够完善等小概率事件,这个问题的严重程度可能会让你毛骨悚然qq主显账号。比如,今后某个工作上的同事发来微信二维码,你还敢扫一扫么?但很多时候似乎又别无他法,总不能因噎废食吧。 关键问题在于授权用户与提交二维码验证的终端环境之间,未能形成互信的认证。

展开全文

仅靠静态的二维码,用户无法知晓该图片产生于哪个终端,系统也不能获知用户对终端是否信任qq主显账号。 欺诈者正是利用了这个漏洞,将系统要求其本人认证的登录二维码替换到受害用户看到的屏幕上,从而由受害用户帮其完成了登录认证。因此只需要弥补这个漏洞,同类攻击即行失效。

具体做法上就很多了,易于理解的比如:请用户在 App 扫码的时候同步回答“正在登录的是什么浏览器,A:Chrome,B:Edge”就行了,更合适的方法留给 QQ 们吧,这里无需赘述qq主显账号

2

然而,这只是治标而已qq主显账号。更本质的原因则在于,现有的账号模型、以及在登录时的身份验证模式,都已经“过时”了。

是的,你没看错qq主显账号

当前的账号登录,普遍是以中心化服务端验证的方式来进行的:用户提交登录凭证,服务端对凭证进行数据库校验,通过了就认可其是账号持有人qq主显账号。有时候也会同时验证多个登录凭证,全部通过了才能允许进行后续的操作。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

这个模型足够简单而且历史悠久qq主显账号,从互联网诞生之初就在用了,但对于下述风险早已无能为力:

首先,每类登录凭证都有自身的可破解漏洞,尤其是在依赖用户自行保管的现实情况下qq主显账号。比如传统的登录口令模式早就千疮百孔,而我国这两年越来越严重的短信泄露也使得手机号短验模式毫无安全可言,本次事件中二维码凭证也暴露出了自己的短板;

其次qq主显账号,用户输入凭证大多是以明文的形式,而如今复杂的网络环境已无法保障用户所处于的操作场景是否安全,很可能所输入的凭证白白为欺诈者所得;

最后也是最严重的,这些登录凭证都是服务端中心化地创建、保管、分发和验证的,也就使得服务端自身成为黑客攻击的中心焦点,一旦攻破不但可侵略该平台上的用户,还能通过凭证的天然相似性去攻击其他平台,一举多得qq主显账号。所谓大厂们也许有财力有人手在这方面增强防御,但是小厂们能面对穷凶极恶的欺诈者么?

于是我们看到,遭遇账号盗用时,平台总是首先怀疑用户自身保管不善、或者在“不安全的”环境中使用;发生平台攻击时,大厂们总会谆谆教导小厂们要学习改善qq主显账号

但是细细想来qq主显账号,真的有道理么?用户若故意向他人泄露凭证是不对的,但除此之外怎能归结为他们的错,他们怎能辨别自身是否处于风险之中?小平台们的代码水平,若不符合业界规范是需要改正的,但怎么可能每个公司的技术团队都具备与欺诈者抗衡的账号防护能力呢,平台的存在价值和首要目标不应该是提供各具特色的内容服务么?

所以我们才发出呼吁,是这套账号模型出问题了qq主显账号。它过时了,已经不再适合广大用户和新兴平台们的发展需要了。用户们、数字平台们都需要的,是一套更安全更方便、责任更清晰、技术更纯粹的账号模型与解决方案。

增加用户端侧的安全

抛弃单一的中心化服务端验证,增加用户端侧的分布式验证;抛弃传统的比对式登录凭证,引入基于密码学的计算式安全凭证qq主显账号。通过这样的改造,可以让单一作战的服务端,升级为服务端+用户端的双侧独立验证,从而杜绝现有已知的各类账号攻击。

国外的 FIDO 无口令身份认证联盟已经先行走出了这条路,但我们可以做得更好qq主显账号

让用户和平台都方便

让用户手动输入凭证的方式其实并不方便,可以有更好的、至少不亚于此的用户体验,特别是结合移动设备上已经普及的生物识别,既显著提高安全性也让用户不觉得麻烦qq主显账号

而对平台而言,新账号模型不仅简洁清晰,更可以在现有账号体系上快速无缝升级,可以让研发团队从此就身份账号的管理和验证问题彻底脱身开来,专心做平台更擅长的内容服务qq主显账号

责任更清晰

将用户、平台、以及专业的账号技术服务商的责任清晰界定出来qq主显账号。用户只要别故意泄露自身信息即可,平台只需规范编码即可,账号技术服务商负责基于新的账号模型来持续监控和应对各类欺诈风险,各司其职,且无需推诿。

技术更纯粹

账号登录服务,与用户的身份信息、数据信息其实是弱耦合的,因此完全可以内部独立运行,无需触碰平台和用户的敏感数据qq主显账号。而且,作为一种非常高频使用的基础设施,也不可能以外部应用的形式调用,国外的 IDaaS 在国内基本不可行就是这个原因。最理想的方式,应该是部署在平台内部,让平台的内外服务都更加纯粹。

令牌云团队已经按照上述标准开发出原型产品并进行了初步测试,相关结果也如预期的那样基本满意,下图是令牌云与fido实现的效果对比qq主显账号。令牌云将不断完善并推出符合未来数字世界长期需要的身份账号服务,让用户和平台都无需再为突如其来的账号失窃而担忧。如果你也感兴趣,欢迎联系,一起探索和推进。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

3

想要彻底解决账号安全问题qq主显账号,这样就足够了么?

对平台,基本足够了qq主显账号。上述方案可以大幅改善平台的账号安全水平,免除责任压力。

对用户,还是不够的qq主显账号。一个人必然要使用多个平台,指望每个平台都实施上述方案需要一个漫长的过程,看看如今很多平台还在用最原始的账号口令方式就明白了。因此用户的数据资产难以得到全面充分的安全保障;而且,让用户在每个平台都独立维护一套登录方式始终是不妥的,用安全术语来说就是“攻击面过多”。

更好的方式是让用户能够“仅凭自身”就安全地登录一切应用qq主显账号。可以明确告知大家、以防被骗的是,这种方式迄今为止尚未出现(比如,人脸识别由于对隐私破坏太大,而且对抗不了假脸技术而不可行),但确实是活跃在业界最前沿的创新热点之一。

令牌云在解决了“平台长期需要”的账号产品后,现在也已投入到“用户长期需要”的账号产品的研发中来了qq主显账号。我们认为,这是个无法一蹴而就,只能臻于至善的长期服务,但价值也会很明显,可以给业界,无论是用户还是平台,都带来极大的福祉。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

关于令牌云

令牌云是一家新锐的数字身份科技公司,专注于让身份更可信、隐私更安全、连接更便捷qq主显账号

我们创新融合了智能芯片认证、分布式身份、端侧可信计算等诸多密码学前沿技术,帮助企业客户实时鉴别当前用户是否为账号持有本人,让产品流程既顺畅又安全,提升业务成功转化率qq主显账号

令牌云已在金融、互联网领域率先取得突破,获得多家知名企业的商用认可,正在面向更多行业提供灵活高效的解决方案qq主显账号

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

欢迎点赞+收藏本文章,如需转载请通过 service@eidtoken.cn 联系我们qq主显账号

qq主显账号你还可以在以下平台找到我们~

公司官网:/

微信公众号:搜索“令牌云数字身份”并关注

知乎:令牌云数字身份

InfoQ:令牌云数字身份


推荐阅读
  • 随着网络安全威胁的不断演变,电子邮件系统成为攻击者频繁利用的目标。本文详细探讨了电子邮件系统中的常见漏洞及其潜在风险,并提供了专业的防护建议。 ... [详细]
  • 本文探讨了2012年4月期间,淘宝在技术架构上的关键数据和发展历程。涵盖了从早期PHP到Java的转型,以及在分布式计算、存储和网络流量管理方面的创新。 ... [详细]
  • 2018年3月31日,CSDN、火星财经联合中关村区块链产业联盟等机构举办的2018区块链技术及应用峰会(BTA)核心分会场圆满举行。多位业内顶尖专家深入探讨了区块链的核心技术原理及其在实际业务中的应用。 ... [详细]
  • 1:有如下一段程序:packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]
  • 本文详细介绍了Java编程语言中的核心概念和常见面试问题,包括集合类、数据结构、线程处理、Java虚拟机(JVM)、HTTP协议以及Git操作等方面的内容。通过深入分析每个主题,帮助读者更好地理解Java的关键特性和最佳实践。 ... [详细]
  • 360SRC安全应急响应:从漏洞提交到修复的全过程
    本文详细介绍了360SRC平台处理一起关键安全事件的过程,涵盖从漏洞提交、验证、排查到最终修复的各个环节。通过这一案例,展示了360在安全应急响应方面的专业能力和严谨态度。 ... [详细]
  • 2023年京东Android面试真题解析与经验分享
    本文由一位拥有6年Android开发经验的工程师撰写,详细解析了京东面试中常见的技术问题。涵盖引用传递、Handler机制、ListView优化、多线程控制及ANR处理等核心知识点。 ... [详细]
  • 网络运维工程师负责确保企业IT基础设施的稳定运行,保障业务连续性和数据安全。他们需要具备多种技能,包括搭建和维护网络环境、监控系统性能、处理突发事件等。本文将探讨网络运维工程师的职业前景及其平均薪酬水平。 ... [详细]
  • 在众多不为人知的软件中,这些工具凭借其卓越的功能和高效的性能脱颖而出。本文将为您详细介绍其中八款精品软件,帮助您提高工作效率。 ... [详细]
  • 本文探讨了如何在日常工作中通过优化效率和深入研究核心技术,将技术和知识转化为实际收益。文章结合个人经验,分享了提高工作效率、掌握高价值技能以及选择合适工作环境的方法,帮助读者更好地实现技术变现。 ... [详细]
  • 本文详细介绍了网络存储技术的基本概念、分类及应用场景。通过分析直连式存储(DAS)、网络附加存储(NAS)和存储区域网络(SAN)的特点,帮助读者理解不同存储方式的优势与局限性。 ... [详细]
  • 云计算的优势与应用场景
    本文详细探讨了云计算为企业和个人带来的多种优势,包括成本节约、安全性提升、灵活性增强等。同时介绍了云计算的五大核心特点,并结合实际案例进行分析。 ... [详细]
  • 本文作者分享了在阿里巴巴获得实习offer的经历,包括五轮面试的详细内容和经验总结。其中四轮为技术面试,一轮为HR面试,涵盖了大量的Java技术和项目实践经验。 ... [详细]
  • 黑鸟安全团队发布最新警告,Apache Struts2框架曝出S2-048高危漏洞。目前该漏洞的攻击代码(POC)已公开,建议各企业和组织立即检查是否使用了受影响的Struts2版本,并采取相应措施进行防护。 ... [详细]
  • 科研单位信息系统中的DevOps实践与优化
    本文探讨了某科研单位通过引入云原生平台实现DevOps开发和运维一体化,显著提升了项目交付效率和产品质量。详细介绍了如何在实际项目中应用DevOps理念,解决了传统开发模式下的诸多痛点。 ... [详细]
author-avatar
晨钟暮鼓芋
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有