DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

高防_网站CC攻击防御_零误杀

高防_网站CC攻击防御_零误杀

Duo实验室2018年11月27日艾尔德里奇·亚历山大第1部分:可用性就是安全性网络安全中的认证、授权和人类心理回溯这些年来,认证和授权已经发生了变化,vps怎样开cc防御,而且还在继续。随着互联网成为通信的核心部分,威胁从本地扩展到全球,从技术扩展到心理。信息安全仍然常常依赖于计算机密码;这是20世纪60年代的产物,也是网络边界;这种区别每年都变得不那么相关。攻击越来越多地涉及到利用人类心理和技术。安全社区从50多年的信息安全和人类行为中学到了很多东西。我将讨论我们如何利用人类行为来实现我们的优势,以及如何更容易地使用安全性来获得更好的结果保安。什么信息安全吗?信息安全是一个巨大而多样的领域,但其核心目标是确保恶意行为体不会访问他们不应该访问的地方、数据和系统。安全社区遇到的一个常见问题是,安全系统或功能很难使用,或受到用户(系统)的积极抵制正在尝试安全。身份验证信息安全中最重要的两个组成部分是身份验证和授权。这些术语偶尔被错误地或互换地使用,高防cdn代理,或者组合在通用术语"auth"下。区分它们的一个简单方法是它们各自试图回答的问题。身份验证试图回答问题"你是谁?"尽可能准确。密码是身份验证系统的一个例子。采用安全密钥和基于时间的编码等多因素认证方法来提高认证的可信度。授权试图回答问题"您是否有权访问您试图访问的内容?"授权系统比认证系统更为多样,但最常用的是Dropbox、Google Drive或OneDrive等应用程序中的权限设置。在那里你可以通过他们的电子邮件地址添加合作者。如果且仅当协作者已使用该电子邮件地址进行身份验证,并满足所有身份验证系统要求(通常是密码),则协作者才能访问共享文件。可用性是安全性必须使用安全功能和技术才能有效。人类心理学是这个过程的一部分,如果不是更多的话。人们普遍认为安全性是一个目标,但有一个名声(并非毫无道理),即更多的安全性意味着更少的可用性。为了使系统和服务真正安全,它们必须具有良好的安全特性,以便易于配置和用过的。历史的在没有考虑到人类安全问题的情况下回答。一例如密码。密码长期以来一直被中间人攻击所破解和拦截。许多用户可以理解地跨多个服务重用他们的密码,这一事实放大了这些安全问题的影响。截至2017年,平均每个商业用户有191个需要密码的账户!如果不重用密码或使用密码管理,不限域名高防cdn,实际上是不可能的工具。那个安全社区开始解决密码重用问题,要求定期更改密码,这样,如果密码被攻击者攻破,它将"仅"在有限的时间内可用。然而,密码过期策略导致了(现在众所周知的)人们使用极可预测密码的现象。虽然这将阻止永久的沉默接管帐户,但它并没有防止数据丢失,这使得这对许多人来说是不充分的缓解措施组织。一次这种实现得到了广泛的应用,服务开始实现多因素认证(multi-factor authentication,MFA)。这比常规的密码更改要好,解决同样的问题甚至更好。然而,旧的密码策略经常被保留不必要的。早MFA通常使用RSA SecurID令牌实现。这是一种有效的缓解措施,但需要购买物理硬件令牌。MFA最终通过短消息和TOTP应用(如Duo-Mobile和googleauthenticator)很容易地被普通消费者的帐户使用,而通用第二因素(U2F)则是在可用性和安全性方面的又一个重大进步。使用Yubikey nano和其他U2F设备,MFA所需的只是简单地按一下插入笔记本电脑的安全键。U2F对网络钓鱼有很强的防御能力,是最容易使用的设备之一,然而,它仍然需要购买单独的设备,哪些方法无法防御ddos攻击,这使得它在网络钓鱼中很少见消费者。什么时候再加上宽松的密码轮换要求,这些技术比以前的状态有了巨大的改进。但是,除非帐户需要MFA,cdn能防御cc吗,否则用户很少启用MFA。2016年,不到10%的谷歌账户使用MFA。一些MFA系统的额外开销对它们的实际存在是一种威慑用过了移动设备世界也有类似的问题。设备通常没有受到密码或PIN的保护,因为这妨碍了手机的方便使用。人们平均每天打开智能手机约80次。屏幕锁所增加的额外摩擦使得它们的使用变得不常见。以iphone为例,苹果增加了Touch ID和Face-ID功能,但也在手机设置流程中增加了生物识别配置。如今,89%的iPhone用户都有屏幕锁定功能启用。安全性技术必须易于使用,而且很难使用小姐。功课从早期的信息安全中可以学到的一点是,用户将更有可能配置和启用更容易设置的安全特性。这似乎是显而易见的,也许确实如此,但人们有一个基本的假设,即人们会将他们的安全设置配置到适当的级别——不幸的是,事实证明这种情况很少发生。早些年得出的一些结论是,用户并不关心自己的安全,因为他们没有启用安全功能。然而,当安全漏洞发生时,他们很生气。用户希望他们的设备能保护他们,而不是设备只是有用户保护自己的选择和人在一起当他们购买设备时,考虑安全性。他们期望"安全"是产品的一个特性,而不是"安全特性"的可用性,这会影响开发者期望用户参与的程度。在使用产品时,存在一个基本的参与度,但是偏离正常操作将导致交互没有真正的参与。但用户对安全的期望保持不变。这方面的一个很好的例子是来自主流记者的一个反复出现的话题,即第三方用户如何阅读你的Gmail。虽然是真的,但只有在用户查看并接受一个对话框,授权第三方"阅读,[emphasis added]发送、删除和管理您的电子邮件"之后才会发生这种情况示例对话框用户会看到一个对话框,精确地解释他们同意和同意的内容。在点击对话框上的"批准"后,用户对对话框上解释的操作感到愤怒发生了什么时候大量的消费者误解了一些东西,作为工程师,我们需要重新审视我们如何沟通信息.RecapSo,作为一个安全和工程界,我们有一些高层外卖:用户期待无需为之工作的安全性,他们期望安全性有效,而不管实际完成了多少配置。这不是因为懒惰,而是因为它是产品。用户在已经预计到的摩擦期间,最好采用相对容易的步骤,例如设置一个新的设备。期间产品意外摩擦(oAuth、权限等),用户参与度将低于其他时间。用户教育和参与在这方面至关重要时间。就像我们在开发新的安全技术方面取得了进展,安全和工程界已经将这些和许多其他教训牢记在心。我对下一代的身份验证和授权技术感到非常兴奋,因为让它们变得简单易用一直是我的首要任务。在本系列的下一篇文章中,我将讨论安全社区如何将这些经验教训应用到下一代技术中,以及如何利用您口袋中可能有的技术奠定基础!

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/60343.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8070833访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X