热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

数字账号安全与数据资产问题的研究及解决方案

本文研究了数字账号安全与数据资产问题,并提出了解决方案。近期,大量QQ账号被盗事件引起了广泛关注。欺诈者对数字账号的价值认识超过了账号主人,因此他们不断攻击和盗用账号。然而,平台和账号主人对账号安全问题的态度不正确,只有用户自身意识到问题的严重性并采取行动,才能推动平台优先解决这些问题。本文旨在提醒用户关注账号安全,并呼吁平台承担起更多的责任。令牌云团队对此进行了长期深入的研究,并提出了相应的解决方案。

此前,一则「QQ用户反映自己账号被盗」一事被冲上了微博热搜,对此事还不熟悉的读者可参考如下两篇文章报道,点击查看:1-《腾讯QQ回应“大量账号被盗”》,2-《就因为QQ登录二维码,全网发生了大规模的社死qq主显账号。。。》()。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

从报道中可以看到,数字账号在欺诈者眼中的价值,要比账号主人原以为的更大,能发挥出千奇百怪的功效qq主显账号。因此,欺诈者们会始终研究着如何攻克防线、盗用账号,而平台和账号主人如若不与时俱进,结果就是突然有一天“社死”。但古语说得好,只有千日做贼,哪有千日防贼的道理?如果不从根本的机制上解决该问题,就只能是必败的结局了。

本文着重要说的是平台对用户账号的安全责任qq主显账号。从现状来看,无论大厂小厂,在平时更多采用鸵鸟政策、得过且过,遇到问题时则极力陈述自身的无奈、适时暗示用户使用不当。这种方式和态度是不对的,不仅于事无补,而且会让恶性循环永远这么下去。

但,最该为此担忧并率先作出行动的,却只能是用户自身qq主显账号。对于发生了某某用户账号被盗的平台,大部分人的选择往往是熟视无睹、赞同平台宣布的某某用户“自身管理不善”的原因,事实上也就纵容了平台继续不作为,直到有一天这样的事件终于发生在自己头上。而另一方面,没有用户侧的群体压力,平台当然也就没有足够的动力来优先解决这些零零星星的问题,直到有一天爆发出大面积事件,最终共同受损。

令牌云团队对此有着较为长期深入的研究和理解,最终得出结论:当前的账号安全弊病已经无法依靠简单的安全补丁来解决了,需要从技术模型到管理理念上都进行彻底的革新,才能保障用户在未来的数字世界中,敢于创造和保管越来越多的数据资产qq主显账号

1

首先,直接送上对应本次 QQ 事件的应对解决方案,免得我们也沦为只说不做的批评家qq主显账号

本次事件之所以令人“震惊”,是因为业界和用户都已经形成了“公共网络不安全、扫码登录最安全”的印象,对手机 App 扫码进行 Web 端、 PC 端登录的闭环安全深信不疑qq主显账号。然而,就这么被欺诈者轻轻松松用替换二维码的方式给攻破了,信任碎了一地。

撇除腾讯 QQ(其他大厂也一样)自身的技术实力不强、代码实现不够完善等小概率事件,这个问题的严重程度可能会让你毛骨悚然qq主显账号。比如,今后某个工作上的同事发来微信二维码,你还敢扫一扫么?但很多时候似乎又别无他法,总不能因噎废食吧。 关键问题在于授权用户与提交二维码验证的终端环境之间,未能形成互信的认证。

展开全文

仅靠静态的二维码,用户无法知晓该图片产生于哪个终端,系统也不能获知用户对终端是否信任qq主显账号。 欺诈者正是利用了这个漏洞,将系统要求其本人认证的登录二维码替换到受害用户看到的屏幕上,从而由受害用户帮其完成了登录认证。因此只需要弥补这个漏洞,同类攻击即行失效。

具体做法上就很多了,易于理解的比如:请用户在 App 扫码的时候同步回答“正在登录的是什么浏览器,A:Chrome,B:Edge”就行了,更合适的方法留给 QQ 们吧,这里无需赘述qq主显账号

2

然而,这只是治标而已qq主显账号。更本质的原因则在于,现有的账号模型、以及在登录时的身份验证模式,都已经“过时”了。

是的,你没看错qq主显账号

当前的账号登录,普遍是以中心化服务端验证的方式来进行的:用户提交登录凭证,服务端对凭证进行数据库校验,通过了就认可其是账号持有人qq主显账号。有时候也会同时验证多个登录凭证,全部通过了才能允许进行后续的操作。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

这个模型足够简单而且历史悠久qq主显账号,从互联网诞生之初就在用了,但对于下述风险早已无能为力:

首先,每类登录凭证都有自身的可破解漏洞,尤其是在依赖用户自行保管的现实情况下qq主显账号。比如传统的登录口令模式早就千疮百孔,而我国这两年越来越严重的短信泄露也使得手机号短验模式毫无安全可言,本次事件中二维码凭证也暴露出了自己的短板;

其次qq主显账号,用户输入凭证大多是以明文的形式,而如今复杂的网络环境已无法保障用户所处于的操作场景是否安全,很可能所输入的凭证白白为欺诈者所得;

最后也是最严重的,这些登录凭证都是服务端中心化地创建、保管、分发和验证的,也就使得服务端自身成为黑客攻击的中心焦点,一旦攻破不但可侵略该平台上的用户,还能通过凭证的天然相似性去攻击其他平台,一举多得qq主显账号。所谓大厂们也许有财力有人手在这方面增强防御,但是小厂们能面对穷凶极恶的欺诈者么?

于是我们看到,遭遇账号盗用时,平台总是首先怀疑用户自身保管不善、或者在“不安全的”环境中使用;发生平台攻击时,大厂们总会谆谆教导小厂们要学习改善qq主显账号

但是细细想来qq主显账号,真的有道理么?用户若故意向他人泄露凭证是不对的,但除此之外怎能归结为他们的错,他们怎能辨别自身是否处于风险之中?小平台们的代码水平,若不符合业界规范是需要改正的,但怎么可能每个公司的技术团队都具备与欺诈者抗衡的账号防护能力呢,平台的存在价值和首要目标不应该是提供各具特色的内容服务么?

所以我们才发出呼吁,是这套账号模型出问题了qq主显账号。它过时了,已经不再适合广大用户和新兴平台们的发展需要了。用户们、数字平台们都需要的,是一套更安全更方便、责任更清晰、技术更纯粹的账号模型与解决方案。

增加用户端侧的安全

抛弃单一的中心化服务端验证,增加用户端侧的分布式验证;抛弃传统的比对式登录凭证,引入基于密码学的计算式安全凭证qq主显账号。通过这样的改造,可以让单一作战的服务端,升级为服务端+用户端的双侧独立验证,从而杜绝现有已知的各类账号攻击。

国外的 FIDO 无口令身份认证联盟已经先行走出了这条路,但我们可以做得更好qq主显账号

让用户和平台都方便

让用户手动输入凭证的方式其实并不方便,可以有更好的、至少不亚于此的用户体验,特别是结合移动设备上已经普及的生物识别,既显著提高安全性也让用户不觉得麻烦qq主显账号

而对平台而言,新账号模型不仅简洁清晰,更可以在现有账号体系上快速无缝升级,可以让研发团队从此就身份账号的管理和验证问题彻底脱身开来,专心做平台更擅长的内容服务qq主显账号

责任更清晰

将用户、平台、以及专业的账号技术服务商的责任清晰界定出来qq主显账号。用户只要别故意泄露自身信息即可,平台只需规范编码即可,账号技术服务商负责基于新的账号模型来持续监控和应对各类欺诈风险,各司其职,且无需推诿。

技术更纯粹

账号登录服务,与用户的身份信息、数据信息其实是弱耦合的,因此完全可以内部独立运行,无需触碰平台和用户的敏感数据qq主显账号。而且,作为一种非常高频使用的基础设施,也不可能以外部应用的形式调用,国外的 IDaaS 在国内基本不可行就是这个原因。最理想的方式,应该是部署在平台内部,让平台的内外服务都更加纯粹。

令牌云团队已经按照上述标准开发出原型产品并进行了初步测试,相关结果也如预期的那样基本满意,下图是令牌云与fido实现的效果对比qq主显账号。令牌云将不断完善并推出符合未来数字世界长期需要的身份账号服务,让用户和平台都无需再为突如其来的账号失窃而担忧。如果你也感兴趣,欢迎联系,一起探索和推进。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

3

想要彻底解决账号安全问题qq主显账号,这样就足够了么?

对平台,基本足够了qq主显账号。上述方案可以大幅改善平台的账号安全水平,免除责任压力。

对用户,还是不够的qq主显账号。一个人必然要使用多个平台,指望每个平台都实施上述方案需要一个漫长的过程,看看如今很多平台还在用最原始的账号口令方式就明白了。因此用户的数据资产难以得到全面充分的安全保障;而且,让用户在每个平台都独立维护一套登录方式始终是不妥的,用安全术语来说就是“攻击面过多”。

更好的方式是让用户能够“仅凭自身”就安全地登录一切应用qq主显账号。可以明确告知大家、以防被骗的是,这种方式迄今为止尚未出现(比如,人脸识别由于对隐私破坏太大,而且对抗不了假脸技术而不可行),但确实是活跃在业界最前沿的创新热点之一。

令牌云在解决了“平台长期需要”的账号产品后,现在也已投入到“用户长期需要”的账号产品的研发中来了qq主显账号。我们认为,这是个无法一蹴而就,只能臻于至善的长期服务,但价值也会很明显,可以给业界,无论是用户还是平台,都带来极大的福祉。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

关于令牌云

令牌云是一家新锐的数字身份科技公司,专注于让身份更可信、隐私更安全、连接更便捷qq主显账号

我们创新融合了智能芯片认证、分布式身份、端侧可信计算等诸多密码学前沿技术,帮助企业客户实时鉴别当前用户是否为账号持有本人,让产品流程既顺畅又安全,提升业务成功转化率qq主显账号

令牌云已在金融、互联网领域率先取得突破,获得多家知名企业的商用认可,正在面向更多行业提供灵活高效的解决方案qq主显账号

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

欢迎点赞+收藏本文章,如需转载请通过 service@eidtoken.cn 联系我们qq主显账号

qq主显账号你还可以在以下平台找到我们~

公司官网:/

微信公众号:搜索“令牌云数字身份”并关注

知乎:令牌云数字身份

InfoQ:令牌云数字身份


推荐阅读
  • Harmony 与 Game Space 达成合作,在 Shard1 上扩展 Web3 游戏
    旧金山20 ... [详细]
  • 本文介绍了南邮ctf-web的writeup,包括签到题和md5 collision。在CTF比赛和渗透测试中,可以通过查看源代码、代码注释、页面隐藏元素、超链接和HTTP响应头部来寻找flag或提示信息。利用PHP弱类型,可以发现md5('QNKCDZO')='0e830400451993494058024219903391'和md5('240610708')='0e462097431906509019562988736854'。 ... [详细]
  • flowable工作流 流程变量_信也科技工作流平台的技术实践
    1背景随着公司业务发展及内部业务流程诉求的增长,目前信息化系统不能够很好满足期望,主要体现如下:目前OA流程引擎无法满足企业特定业务流程需求,且移动端体 ... [详细]
  • 本文介绍了Windows操作系统的版本及其特点,包括Windows 7系统的6个版本:Starter、Home Basic、Home Premium、Professional、Enterprise、Ultimate。Windows操作系统是微软公司研发的一套操作系统,具有人机操作性优异、支持的应用软件较多、对硬件支持良好等优点。Windows 7 Starter是功能最少的版本,缺乏Aero特效功能,没有64位支持,最初设计不能同时运行三个以上应用程序。 ... [详细]
  • Google在I/O开发者大会详细介绍Android N系统的更新和安全性提升
    Google在2016年的I/O开发者大会上详细介绍了Android N系统的更新和安全性提升。Android N系统在安全方面支持无缝升级更新和修补漏洞,引入了基于文件的数据加密系统和移动版本的Chrome浏览器可以识别恶意网站等新的安全机制。在性能方面,Android N内置了先进的图形处理系统Vulkan,加入了JIT编译器以提高安装效率和减少应用程序的占用空间。此外,Android N还具有自动关闭长时间未使用的后台应用程序来释放系统资源的机制。 ... [详细]
  • SpringBoot整合SpringSecurity+JWT实现单点登录
    SpringBoot整合SpringSecurity+JWT实现单点登录,Go语言社区,Golang程序员人脉社 ... [详细]
  • Windows7企业版怎样存储安全新功能详解
    本文介绍了电脑公司发布的GHOST WIN7 SP1 X64 通用特别版 V2019.12,软件大小为5.71 GB,支持简体中文,属于国产软件,免费使用。文章还提到了用户评分和软件分类为Win7系统,运行环境为Windows。同时,文章还介绍了平台检测结果,无插件,通过了360、腾讯、金山和瑞星的检测。此外,文章还提到了本地下载文件大小为5.71 GB,需要先下载高速下载器才能进行高速下载。最后,文章详细解释了Windows7企业版的存储安全新功能。 ... [详细]
  • ShiftLeft:将静态防护与运行时防护结合的持续性安全防护解决方案
    ShiftLeft公司是一家致力于将应用的静态防护和运行时防护与应用开发自动化工作流相结合以提升软件开发生命周期中的安全性的公司。传统的安全防护方式存在误报率高、人工成本高、耗时长等问题,而ShiftLeft提供的持续性安全防护解决方案能够解决这些问题。通过将下一代静态代码分析与应用开发自动化工作流中涉及的安全工具相结合,ShiftLeft帮助企业实现DevSecOps的安全部分,提供高效、准确的安全能力。 ... [详细]
  • ElasticSerach初探第一篇认识ES+环境搭建+简单MySQL数据同步+SpringBoot整合ES
    一、认识ElasticSearch是一个基于Lucene的开源搜索引擎,通过简单的RESTfulAPI来隐藏Lucene的复杂性。全文搜索,分析系统&# ... [详细]
  • 本文探讨了容器技术在安全方面面临的挑战,并提出了相应的解决方案。多租户保护、用户访问控制、中毒的镜像、验证和加密、容器守护以及容器监控都是容器技术中需要关注的安全问题。通过在虚拟机中运行容器、限制特权升级、使用受信任的镜像库、进行验证和加密、限制容器守护进程的访问以及监控容器栈,可以提高容器技术的安全性。未来,随着容器技术的发展,还需解决诸如硬件支持、软件定义基础设施集成等挑战。 ... [详细]
  • ejava,刘聪dejava
    本文目录一览:1、什么是Java?2、java ... [详细]
  • {moduleinfo:{card_count:[{count_phone:1,count:1}],search_count:[{count_phone:4 ... [详细]
  • 14亿人的大项目,腾讯云数据库拿下!
    全国人 ... [详细]
  • 玩转直播系列之消息模块演进(3)
    一、背景即时消息(IM)系统是直播系统重要的组成部分,一个稳定的,有容错的,灵活的,支持高并发的消息模块是影响直播系统用户体验的重要因素。IM长连接服务在直播系统有发挥着举足轻重的 ... [详细]
  • 浅解XXE与Portswigger Web Sec
    XXE与PortswiggerWebSec​相关链接:​博客园​安全脉搏​FreeBuf​XML的全称为XML外部实体注入,在学习的过程中发现有回显的XXE并不多,而 ... [详细]
author-avatar
晨钟暮鼓芋
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有