热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

数字账号安全与数据资产问题的研究及解决方案

本文研究了数字账号安全与数据资产问题,并提出了解决方案。近期,大量QQ账号被盗事件引起了广泛关注。欺诈者对数字账号的价值认识超过了账号主人,因此他们不断攻击和盗用账号。然而,平台和账号主人对账号安全问题的态度不正确,只有用户自身意识到问题的严重性并采取行动,才能推动平台优先解决这些问题。本文旨在提醒用户关注账号安全,并呼吁平台承担起更多的责任。令牌云团队对此进行了长期深入的研究,并提出了相应的解决方案。

此前,一则「QQ用户反映自己账号被盗」一事被冲上了微博热搜,对此事还不熟悉的读者可参考如下两篇文章报道,点击查看:1-《腾讯QQ回应“大量账号被盗”》,2-《就因为QQ登录二维码,全网发生了大规模的社死qq主显账号。。。》()。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

从报道中可以看到,数字账号在欺诈者眼中的价值,要比账号主人原以为的更大,能发挥出千奇百怪的功效qq主显账号。因此,欺诈者们会始终研究着如何攻克防线、盗用账号,而平台和账号主人如若不与时俱进,结果就是突然有一天“社死”。但古语说得好,只有千日做贼,哪有千日防贼的道理?如果不从根本的机制上解决该问题,就只能是必败的结局了。

本文着重要说的是平台对用户账号的安全责任qq主显账号。从现状来看,无论大厂小厂,在平时更多采用鸵鸟政策、得过且过,遇到问题时则极力陈述自身的无奈、适时暗示用户使用不当。这种方式和态度是不对的,不仅于事无补,而且会让恶性循环永远这么下去。

但,最该为此担忧并率先作出行动的,却只能是用户自身qq主显账号。对于发生了某某用户账号被盗的平台,大部分人的选择往往是熟视无睹、赞同平台宣布的某某用户“自身管理不善”的原因,事实上也就纵容了平台继续不作为,直到有一天这样的事件终于发生在自己头上。而另一方面,没有用户侧的群体压力,平台当然也就没有足够的动力来优先解决这些零零星星的问题,直到有一天爆发出大面积事件,最终共同受损。

令牌云团队对此有着较为长期深入的研究和理解,最终得出结论:当前的账号安全弊病已经无法依靠简单的安全补丁来解决了,需要从技术模型到管理理念上都进行彻底的革新,才能保障用户在未来的数字世界中,敢于创造和保管越来越多的数据资产qq主显账号

1

首先,直接送上对应本次 QQ 事件的应对解决方案,免得我们也沦为只说不做的批评家qq主显账号

本次事件之所以令人“震惊”,是因为业界和用户都已经形成了“公共网络不安全、扫码登录最安全”的印象,对手机 App 扫码进行 Web 端、 PC 端登录的闭环安全深信不疑qq主显账号。然而,就这么被欺诈者轻轻松松用替换二维码的方式给攻破了,信任碎了一地。

撇除腾讯 QQ(其他大厂也一样)自身的技术实力不强、代码实现不够完善等小概率事件,这个问题的严重程度可能会让你毛骨悚然qq主显账号。比如,今后某个工作上的同事发来微信二维码,你还敢扫一扫么?但很多时候似乎又别无他法,总不能因噎废食吧。 关键问题在于授权用户与提交二维码验证的终端环境之间,未能形成互信的认证。

展开全文

仅靠静态的二维码,用户无法知晓该图片产生于哪个终端,系统也不能获知用户对终端是否信任qq主显账号。 欺诈者正是利用了这个漏洞,将系统要求其本人认证的登录二维码替换到受害用户看到的屏幕上,从而由受害用户帮其完成了登录认证。因此只需要弥补这个漏洞,同类攻击即行失效。

具体做法上就很多了,易于理解的比如:请用户在 App 扫码的时候同步回答“正在登录的是什么浏览器,A:Chrome,B:Edge”就行了,更合适的方法留给 QQ 们吧,这里无需赘述qq主显账号

2

然而,这只是治标而已qq主显账号。更本质的原因则在于,现有的账号模型、以及在登录时的身份验证模式,都已经“过时”了。

是的,你没看错qq主显账号

当前的账号登录,普遍是以中心化服务端验证的方式来进行的:用户提交登录凭证,服务端对凭证进行数据库校验,通过了就认可其是账号持有人qq主显账号。有时候也会同时验证多个登录凭证,全部通过了才能允许进行后续的操作。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

这个模型足够简单而且历史悠久qq主显账号,从互联网诞生之初就在用了,但对于下述风险早已无能为力:

首先,每类登录凭证都有自身的可破解漏洞,尤其是在依赖用户自行保管的现实情况下qq主显账号。比如传统的登录口令模式早就千疮百孔,而我国这两年越来越严重的短信泄露也使得手机号短验模式毫无安全可言,本次事件中二维码凭证也暴露出了自己的短板;

其次qq主显账号,用户输入凭证大多是以明文的形式,而如今复杂的网络环境已无法保障用户所处于的操作场景是否安全,很可能所输入的凭证白白为欺诈者所得;

最后也是最严重的,这些登录凭证都是服务端中心化地创建、保管、分发和验证的,也就使得服务端自身成为黑客攻击的中心焦点,一旦攻破不但可侵略该平台上的用户,还能通过凭证的天然相似性去攻击其他平台,一举多得qq主显账号。所谓大厂们也许有财力有人手在这方面增强防御,但是小厂们能面对穷凶极恶的欺诈者么?

于是我们看到,遭遇账号盗用时,平台总是首先怀疑用户自身保管不善、或者在“不安全的”环境中使用;发生平台攻击时,大厂们总会谆谆教导小厂们要学习改善qq主显账号

但是细细想来qq主显账号,真的有道理么?用户若故意向他人泄露凭证是不对的,但除此之外怎能归结为他们的错,他们怎能辨别自身是否处于风险之中?小平台们的代码水平,若不符合业界规范是需要改正的,但怎么可能每个公司的技术团队都具备与欺诈者抗衡的账号防护能力呢,平台的存在价值和首要目标不应该是提供各具特色的内容服务么?

所以我们才发出呼吁,是这套账号模型出问题了qq主显账号。它过时了,已经不再适合广大用户和新兴平台们的发展需要了。用户们、数字平台们都需要的,是一套更安全更方便、责任更清晰、技术更纯粹的账号模型与解决方案。

增加用户端侧的安全

抛弃单一的中心化服务端验证,增加用户端侧的分布式验证;抛弃传统的比对式登录凭证,引入基于密码学的计算式安全凭证qq主显账号。通过这样的改造,可以让单一作战的服务端,升级为服务端+用户端的双侧独立验证,从而杜绝现有已知的各类账号攻击。

国外的 FIDO 无口令身份认证联盟已经先行走出了这条路,但我们可以做得更好qq主显账号

让用户和平台都方便

让用户手动输入凭证的方式其实并不方便,可以有更好的、至少不亚于此的用户体验,特别是结合移动设备上已经普及的生物识别,既显著提高安全性也让用户不觉得麻烦qq主显账号

而对平台而言,新账号模型不仅简洁清晰,更可以在现有账号体系上快速无缝升级,可以让研发团队从此就身份账号的管理和验证问题彻底脱身开来,专心做平台更擅长的内容服务qq主显账号

责任更清晰

将用户、平台、以及专业的账号技术服务商的责任清晰界定出来qq主显账号。用户只要别故意泄露自身信息即可,平台只需规范编码即可,账号技术服务商负责基于新的账号模型来持续监控和应对各类欺诈风险,各司其职,且无需推诿。

技术更纯粹

账号登录服务,与用户的身份信息、数据信息其实是弱耦合的,因此完全可以内部独立运行,无需触碰平台和用户的敏感数据qq主显账号。而且,作为一种非常高频使用的基础设施,也不可能以外部应用的形式调用,国外的 IDaaS 在国内基本不可行就是这个原因。最理想的方式,应该是部署在平台内部,让平台的内外服务都更加纯粹。

令牌云团队已经按照上述标准开发出原型产品并进行了初步测试,相关结果也如预期的那样基本满意,下图是令牌云与fido实现的效果对比qq主显账号。令牌云将不断完善并推出符合未来数字世界长期需要的身份账号服务,让用户和平台都无需再为突如其来的账号失窃而担忧。如果你也感兴趣,欢迎联系,一起探索和推进。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

3

想要彻底解决账号安全问题qq主显账号,这样就足够了么?

对平台,基本足够了qq主显账号。上述方案可以大幅改善平台的账号安全水平,免除责任压力。

对用户,还是不够的qq主显账号。一个人必然要使用多个平台,指望每个平台都实施上述方案需要一个漫长的过程,看看如今很多平台还在用最原始的账号口令方式就明白了。因此用户的数据资产难以得到全面充分的安全保障;而且,让用户在每个平台都独立维护一套登录方式始终是不妥的,用安全术语来说就是“攻击面过多”。

更好的方式是让用户能够“仅凭自身”就安全地登录一切应用qq主显账号。可以明确告知大家、以防被骗的是,这种方式迄今为止尚未出现(比如,人脸识别由于对隐私破坏太大,而且对抗不了假脸技术而不可行),但确实是活跃在业界最前沿的创新热点之一。

令牌云在解决了“平台长期需要”的账号产品后,现在也已投入到“用户长期需要”的账号产品的研发中来了qq主显账号。我们认为,这是个无法一蹴而就,只能臻于至善的长期服务,但价值也会很明显,可以给业界,无论是用户还是平台,都带来极大的福祉。

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

关于令牌云

令牌云是一家新锐的数字身份科技公司,专注于让身份更可信、隐私更安全、连接更便捷qq主显账号

我们创新融合了智能芯片认证、分布式身份、端侧可信计算等诸多密码学前沿技术,帮助企业客户实时鉴别当前用户是否为账号持有本人,让产品流程既顺畅又安全,提升业务成功转化率qq主显账号

令牌云已在金融、互联网领域率先取得突破,获得多家知名企业的商用认可,正在面向更多行业提供灵活高效的解决方案qq主显账号

小令观点 | 从大批QQ账号被盗,看账号安全与数据资产问题

欢迎点赞+收藏本文章,如需转载请通过 service@eidtoken.cn 联系我们qq主显账号

qq主显账号你还可以在以下平台找到我们~

公司官网:/

微信公众号:搜索“令牌云数字身份”并关注

知乎:令牌云数字身份

InfoQ:令牌云数字身份


推荐阅读
  • 本文探讨了浏览器的同源策略限制及其对 AJAX 请求的影响,并详细介绍了如何在 Spring Boot 应用中优雅地处理跨域请求,特别是当请求包含自定义 Headers 时的解决方案。 ... [详细]
  • 雨林木风 GHOST XP SP3 经典珍藏版 V2017.11
    雨林木风 GHOST XP SP3 经典珍藏版 V2017.11 ... [详细]
  • 本文详细介绍了优化DB2数据库性能的多种方法,涵盖统计信息更新、缓冲池调整、日志缓冲区配置、应用程序堆大小设置、排序堆参数调整、代理程序管理、锁机制优化、活动应用程序限制、页清除程序配置、I/O服务器数量设定以及编入组提交数调整等方面。通过这些技术手段,可以显著提升数据库的运行效率和响应速度。 ... [详细]
  • Java项目分层架构设计与实践
    本文探讨了Java项目中应用分层的最佳实践,不仅介绍了常见的三层架构(Controller、Service、DAO),还深入分析了各层的职责划分及优化建议。通过合理的分层设计,可以提高代码的可维护性、扩展性和团队协作效率。 ... [详细]
  • 深入解析Serverless架构模式
    本文将详细介绍Serverless架构模式的核心概念、工作原理及其优势。通过对比传统架构,探讨Serverless如何简化应用开发与运维流程,并介绍当前主流的Serverless平台。 ... [详细]
  • 深入解析Java虚拟机(JVM)架构与原理
    本文旨在为读者提供对Java虚拟机(JVM)的全面理解,涵盖其主要组成部分、工作原理及其在不同平台上的实现。通过详细探讨JVM的结构和内部机制,帮助开发者更好地掌握Java编程的核心技术。 ... [详细]
  • 1.执行sqlsever存储过程,消息:SQLServer阻止了对组件“AdHocDistributedQueries”的STATEMENT“OpenRowsetOpenDatas ... [详细]
  • Java EE开发技术课程学习平台设计与实现
    本文详细介绍了一款基于Java EE开发技术的在线学习平台,涵盖系统设计、流程分析、功能模块及源码分享等内容,提供从需求分析到部署的全面指导。 ... [详细]
  • 智能医疗,即通过先进的物联网技术和信息平台,实现患者、医护人员和医疗机构之间的高效互动。它不仅提升了医疗服务的便捷性和质量,还推动了整个医疗行业的现代化进程。 ... [详细]
  • 如何使用 CleanMyMac X 2023 激活码解锁完整功能
    本文详细介绍了如何使用 CleanMyMac X 2023 激活码解锁软件的全部功能,并提供了一些优化和清理 Mac 系统的专业建议。 ... [详细]
  • 本文介绍了一个基于 Java SpringMVC 和 SSM 框架的综合系统,涵盖了操作日志记录、文件管理、头像编辑、权限控制、以及多种技术集成如 Shiro、Redis 等,旨在提供一个高效且功能丰富的开发平台。 ... [详细]
  • 本文深入探讨了MySQL中常见的面试问题,包括事务隔离级别、存储引擎选择、索引结构及优化等关键知识点。通过详细解析,帮助读者在面对BAT等大厂面试时更加从容。 ... [详细]
  • SpringCloud电商平台开发指南:实战案例解析
    本文详细介绍了基于SpringCloud构建的电商平台项目,涵盖了从技术选型到项目部署的全流程,旨在帮助开发者快速掌握电商平台的开发技巧。 ... [详细]
  • PySpark实战:高效使用DataFrame超越RDD
    本文深入探讨了PySpark中DataFrame的使用方法及其相对于传统RDD的优势,旨在帮助开发者更好地理解和利用这一强大工具。 ... [详细]
  • 收割机|篇幅_国内最牛逼的笔记,不接受反驳!!
    收割机|篇幅_国内最牛逼的笔记,不接受反驳!! ... [详细]
author-avatar
晨钟暮鼓芋
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有