热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

数字账号安全与数据资产问题的研究及解决方案

本文研究了数字账号安全与数据资产问题,并提出了解决方案。近期,大量QQ账号被盗事件引起了广泛关注。欺诈者对数字账号的价值认识超过了账号主人,因此他们不断攻击和盗用账号。然而,平台和账号主人对账号安全问题的态度不正确,只有用户自身意识到问题的严重性并采取行动,才能推动平台优先解决这些问题。本文旨在提醒用户关注账号安全,并呼吁平台承担起更多的责任。令牌云团队对此进行了长期深入的研究,并提出了相应的解决方案。

此前,一则「QQ用户反映自己账号被盗」一事被冲上了微博热搜,对此事还不熟悉的读者可参考如下两篇文章报道,点击查看:1-《腾讯QQ回应“大量账号被盗”》,2-《就因为QQ登录二维码,全网发生了大规模的社死qq主显账号。。。》()。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

从报道中可以看到,数字账号在欺诈者眼中的价值,要比账号主人原以为的更大,能发挥出千奇百怪的功效qq主显账号。因此,欺诈者们会始终研究着如何攻克防线、盗用账号,而平台和账号主人如若不与时俱进,结果就是突然有一天“社死”。但古语说得好,只有千日做贼,哪有千日防贼的道理?如果不从根本的机制上解决该问题,就只能是必败的结局了。

本文着重要说的是平台对用户账号的安全责任qq主显账号。从现状来看,无论大厂小厂,在平时更多采用鸵鸟政策、得过且过,遇到问题时则极力陈述自身的无奈、适时暗示用户使用不当。这种方式和态度是不对的,不仅于事无补,而且会让恶性循环永远这么下去。

但,最该为此担忧并率先作出行动的,却只能是用户自身qq主显账号。对于发生了某某用户账号被盗的平台,大部分人的选择往往是熟视无睹、赞同平台宣布的某某用户“自身管理不善”的原因,事实上也就纵容了平台继续不作为,直到有一天这样的事件终于发生在自己头上。而另一方面,没有用户侧的群体压力,平台当然也就没有足够的动力来优先解决这些零零星星的问题,直到有一天爆发出大面积事件,最终共同受损。

令牌云团队对此有着较为长期深入的研究和理解,最终得出结论:当前的账号安全弊病已经无法依靠简单的安全补丁来解决了,需要从技术模型到管理理念上都进行彻底的革新,才能保障用户在未来的数字世界中,敢于创造和保管越来越多的数据资产qq主显账号

1

首先,直接送上对应本次 QQ 事件的应对解决方案,免得我们也沦为只说不做的批评家qq主显账号

本次事件之所以令人“震惊”,是因为业界和用户都已经形成了“公共网络不安全、扫码登录最安全”的印象,对手机 App 扫码进行 Web 端、 PC 端登录的闭环安全深信不疑qq主显账号。然而,就这么被欺诈者轻轻松松用替换二维码的方式给攻破了,信任碎了一地。

撇除腾讯 QQ(其他大厂也一样)自身的技术实力不强、代码实现不够完善等小概率事件,这个问题的严重程度可能会让你毛骨悚然qq主显账号。比如,今后某个工作上的同事发来微信二维码,你还敢扫一扫么?但很多时候似乎又别无他法,总不能因噎废食吧。 关键问题在于授权用户与提交二维码验证的终端环境之间,未能形成互信的认证。

展开全文

仅靠静态的二维码,用户无法知晓该图片产生于哪个终端,系统也不能获知用户对终端是否信任qq主显账号。 欺诈者正是利用了这个漏洞,将系统要求其本人认证的登录二维码替换到受害用户看到的屏幕上,从而由受害用户帮其完成了登录认证。因此只需要弥补这个漏洞,同类攻击即行失效。

具体做法上就很多了,易于理解的比如:请用户在 App 扫码的时候同步回答“正在登录的是什么浏览器,A:Chrome,B:Edge”就行了,更合适的方法留给 QQ 们吧,这里无需赘述qq主显账号

2

然而,这只是治标而已qq主显账号。更本质的原因则在于,现有的账号模型、以及在登录时的身份验证模式,都已经“过时”了。

是的,你没看错qq主显账号

当前的账号登录,普遍是以中心化服务端验证的方式来进行的:用户提交登录凭证,服务端对凭证进行数据库校验,通过了就认可其是账号持有人qq主显账号。有时候也会同时验证多个登录凭证,全部通过了才能允许进行后续的操作。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

这个模型足够简单而且历史悠久qq主显账号,从互联网诞生之初就在用了,但对于下述风险早已无能为力:

首先,每类登录凭证都有自身的可破解漏洞,尤其是在依赖用户自行保管的现实情况下qq主显账号。比如传统的登录口令模式早就千疮百孔,而我国这两年越来越严重的短信泄露也使得手机号短验模式毫无安全可言,本次事件中二维码凭证也暴露出了自己的短板;

其次qq主显账号,用户输入凭证大多是以明文的形式,而如今复杂的网络环境已无法保障用户所处于的操作场景是否安全,很可能所输入的凭证白白为欺诈者所得;

最后也是最严重的,这些登录凭证都是服务端中心化地创建、保管、分发和验证的,也就使得服务端自身成为黑客攻击的中心焦点,一旦攻破不但可侵略该平台上的用户,还能通过凭证的天然相似性去攻击其他平台,一举多得qq主显账号。所谓大厂们也许有财力有人手在这方面增强防御,但是小厂们能面对穷凶极恶的欺诈者么?

于是我们看到,遭遇账号盗用时,平台总是首先怀疑用户自身保管不善、或者在“不安全的”环境中使用;发生平台攻击时,大厂们总会谆谆教导小厂们要学习改善qq主显账号

但是细细想来qq主显账号,真的有道理么?用户若故意向他人泄露凭证是不对的,但除此之外怎能归结为他们的错,他们怎能辨别自身是否处于风险之中?小平台们的代码水平,若不符合业界规范是需要改正的,但怎么可能每个公司的技术团队都具备与欺诈者抗衡的账号防护能力呢,平台的存在价值和首要目标不应该是提供各具特色的内容服务么?

所以我们才发出呼吁,是这套账号模型出问题了qq主显账号。它过时了,已经不再适合广大用户和新兴平台们的发展需要了。用户们、数字平台们都需要的,是一套更安全更方便、责任更清晰、技术更纯粹的账号模型与解决方案。

增加用户端侧的安全

抛弃单一的中心化服务端验证,增加用户端侧的分布式验证;抛弃传统的比对式登录凭证,引入基于密码学的计算式安全凭证qq主显账号。通过这样的改造,可以让单一作战的服务端,升级为服务端+用户端的双侧独立验证,从而杜绝现有已知的各类账号攻击。

国外的 FIDO 无口令身份认证联盟已经先行走出了这条路,但我们可以做得更好qq主显账号

让用户和平台都方便

让用户手动输入凭证的方式其实并不方便,可以有更好的、至少不亚于此的用户体验,特别是结合移动设备上已经普及的生物识别,既显著提高安全性也让用户不觉得麻烦qq主显账号

而对平台而言,新账号模型不仅简洁清晰,更可以在现有账号体系上快速无缝升级,可以让研发团队从此就身份账号的管理和验证问题彻底脱身开来,专心做平台更擅长的内容服务qq主显账号

责任更清晰

将用户、平台、以及专业的账号技术服务商的责任清晰界定出来qq主显账号。用户只要别故意泄露自身信息即可,平台只需规范编码即可,账号技术服务商负责基于新的账号模型来持续监控和应对各类欺诈风险,各司其职,且无需推诿。

技术更纯粹

账号登录服务,与用户的身份信息、数据信息其实是弱耦合的,因此完全可以内部独立运行,无需触碰平台和用户的敏感数据qq主显账号。而且,作为一种非常高频使用的基础设施,也不可能以外部应用的形式调用,国外的 IDaaS 在国内基本不可行就是这个原因。最理想的方式,应该是部署在平台内部,让平台的内外服务都更加纯粹。

令牌云团队已经按照上述标准开发出原型产品并进行了初步测试,相关结果也如预期的那样基本满意,下图是令牌云与fido实现的效果对比qq主显账号。令牌云将不断完善并推出符合未来数字世界长期需要的身份账号服务,让用户和平台都无需再为突如其来的账号失窃而担忧。如果你也感兴趣,欢迎联系,一起探索和推进。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

3

想要彻底解决账号安全问题qq主显账号,这样就足够了么?

对平台,基本足够了qq主显账号。上述方案可以大幅改善平台的账号安全水平,免除责任压力。

对用户,还是不够的qq主显账号。一个人必然要使用多个平台,指望每个平台都实施上述方案需要一个漫长的过程,看看如今很多平台还在用最原始的账号口令方式就明白了。因此用户的数据资产难以得到全面充分的安全保障;而且,让用户在每个平台都独立维护一套登录方式始终是不妥的,用安全术语来说就是“攻击面过多”。

更好的方式是让用户能够“仅凭自身”就安全地登录一切应用qq主显账号。可以明确告知大家、以防被骗的是,这种方式迄今为止尚未出现(比如,人脸识别由于对隐私破坏太大,而且对抗不了假脸技术而不可行),但确实是活跃在业界最前沿的创新热点之一。

令牌云在解决了“平台长期需要”的账号产品后,现在也已投入到“用户长期需要”的账号产品的研发中来了qq主显账号。我们认为,这是个无法一蹴而就,只能臻于至善的长期服务,但价值也会很明显,可以给业界,无论是用户还是平台,都带来极大的福祉。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

关于令牌云

令牌云是一家新锐的数字身份科技公司,专注于让身份更可信、隐私更安全、连接更便捷qq主显账号

我们创新融合了智能芯片认证、分布式身份、端侧可信计算等诸多密码学前沿技术,帮助企业客户实时鉴别当前用户是否为账号持有本人,让产品流程既顺畅又安全,提升业务成功转化率qq主显账号

令牌云已在金融、互联网领域率先取得突破,获得多家知名企业的商用认可,正在面向更多行业提供灵活高效的解决方案qq主显账号

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

欢迎点赞+收藏本文章,如需转载请通过 service@eidtoken.cn 联系我们qq主显账号

qq主显账号你还可以在以下平台找到我们~

公司官网:/

微信公众号:搜索“令牌云数字身份”并关注

知乎:令牌云数字身份

InfoQ:令牌云数字身份


推荐阅读
  • SpringBoot整合SpringSecurity+JWT实现单点登录
    SpringBoot整合SpringSecurity+JWT实现单点登录,Go语言社区,Golang程序员人脉社 ... [详细]
  • ElasticSerach初探第一篇认识ES+环境搭建+简单MySQL数据同步+SpringBoot整合ES
    一、认识ElasticSearch是一个基于Lucene的开源搜索引擎,通过简单的RESTfulAPI来隐藏Lucene的复杂性。全文搜索,分析系统&# ... [详细]
  • 如何实现织梦DedeCms全站伪静态
    本文介绍了如何通过修改织梦DedeCms源代码来实现全站伪静态,以提高管理和SEO效果。全站伪静态可以避免重复URL的问题,同时通过使用mod_rewrite伪静态模块和.htaccess正则表达式,可以更好地适应搜索引擎的需求。文章还提到了一些相关的技术和工具,如Ubuntu、qt编程、tomcat端口、爬虫、php request根目录等。 ... [详细]
  • Android中高级面试必知必会,积累总结
    本文介绍了Android中高级面试的必知必会内容,并总结了相关经验。文章指出,如今的Android市场对开发人员的要求更高,需要更专业的人才。同时,文章还给出了针对Android岗位的职责和要求,并提供了简历突出的建议。 ... [详细]
  • flowable工作流 流程变量_信也科技工作流平台的技术实践
    1背景随着公司业务发展及内部业务流程诉求的增长,目前信息化系统不能够很好满足期望,主要体现如下:目前OA流程引擎无法满足企业特定业务流程需求,且移动端体 ... [详细]
  • Elasticsearch1Elasticsearch入门1.1Elasticsearch术语1.1.16.0以前的Elasticsearch术语1.1.26.0以后的Elasti ... [详细]
  • 如何查询zone下的表的信息
    本文介绍了如何通过TcaplusDB知识库查询zone下的表的信息。包括请求地址、GET请求参数说明、返回参数说明等内容。通过curl方法发起请求,并提供了请求示例。 ... [详细]
  • 本文介绍了OpenStack的逻辑概念以及其构成简介,包括了软件开源项目、基础设施资源管理平台、三大核心组件等内容。同时还介绍了Horizon(UI模块)等相关信息。 ... [详细]
  • 本文记录了在vue cli 3.x中移除console的一些采坑经验,通过使用uglifyjs-webpack-plugin插件,在vue.config.js中进行相关配置,包括设置minimizer、UglifyJsPlugin和compress等参数,最终成功移除了console。同时,还包括了一些可能出现的报错情况和解决方法。 ... [详细]
  • 分享css中提升优先级属性!important的用法总结
    web前端|css教程css!importantweb前端-css教程本文分享css中提升优先级属性!important的用法总结微信门店展示源码,vscode如何管理站点,ubu ... [详细]
  • ejava,刘聪dejava
    本文目录一览:1、什么是Java?2、java ... [详细]
  • Centos7.6安装Gitlab教程及注意事项
    本文介绍了在Centos7.6系统下安装Gitlab的详细教程,并提供了一些注意事项。教程包括查看系统版本、安装必要的软件包、配置防火墙等步骤。同时,还强调了使用阿里云服务器时的特殊配置需求,以及建议至少4GB的可用RAM来运行GitLab。 ... [详细]
  • 本文介绍了前端人员必须知道的三个问题,即前端都做哪些事、前端都需要哪些技术,以及前端的发展阶段。初级阶段包括HTML、CSS、JavaScript和jQuery的基础知识。进阶阶段涵盖了面向对象编程、响应式设计、Ajax、HTML5等新兴技术。高级阶段包括架构基础、模块化开发、预编译和前沿规范等内容。此外,还介绍了一些后端服务,如Node.js。 ... [详细]
  • 2022年的风口:你看不起的行业,真的很挣钱!
    本文介绍了2022年的风口,探讨了一份稳定的副业收入对于普通人增加收入的重要性,以及如何抓住风口来实现赚钱的目标。文章指出,拼命工作并不一定能让人有钱,而是需要顺应时代的方向。 ... [详细]
  • 小程序自动授权和手动接入的方式及操作步骤
    本文介绍了小程序支持的两种接入方式:自动授权和手动接入,并详细说明了它们的操作步骤。同时还介绍了如何在两种方式之间切换,以及手动接入后如何下载代码包和提交审核。 ... [详细]
author-avatar
晨钟暮鼓芋
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有