凭证盗窃： 就像在桶里射击钓鱼一样简单

想象一下最好的情况： 您已经为用户进行了安全意识培训，并向他们介绍了所有适用于他们的威胁。 您已经培育了一种安全文化，每个人都知道网络钓鱼者的策略以及如何避免受到网络钓鱼电子邮件的攻击。 您在所有端点上都安装了防病毒软件来对抗驱动下载。 您的用户甚至足够高级，可以使用密码管理器，因为他们知道并关心弱密码和重复使用密码的危险。

现在，回到现实。 我们使用技术是因为人类容易犯错。 当然，教育您的用户非常重要，因为它将大大降低网络钓鱼相关事件的发生频率。 但无论你对用户进行多少教育，总会有少数人犯错误。 根据2016 年 Verizon 数据泄露调查报告 (DBIR)，接受网络钓鱼测试的人中有 13% 点击了网络钓鱼电子邮件中的附件。 所以，不要自欺欺人地认为您的用户中没有人会属于那 13%。 除了错误之外，20％ 的员工愿意出售他们的密码，其中 44％ 的员工愿意以低于1,000 美元的价格这样做！ 如果您看到这些统计数据并认为“这不会发生在我的组织中”——那么如果您没有预料到并为网络钓鱼事件的发生做好准备，那么您就是犯了错误的人。

网络钓鱼的一个明显动机是窃取用户凭证，然后发动更深层次的攻击。 2016 年 Verizon DBIR 记录了 1,429 起涉及使用泄露凭证的事件。 这怎么可能呢？ 用户密码疲劳是一个重要原因。 想想您为个人需要而保存的所有密码——您的手机银行应用程序、您的 Gmail 帐户、您的 Facebook 帐户、您的 Amazon Prime...... 这个列表还在不断增加。 现在，将同样的情况应用到企业中，80% 的企业正在从云端交付应用（Office 365、Salesforce、Concur 等）。 企业最敏感的数据位于其应用中，这些应用可能具有以下典型的密码复杂性要求：

• 至少 8 个字符
• 使用至少 1 个特殊字符（！、@、#、$ 等）
• 使用至少 1 个大写字母（A-Z）
• 使用至少 1 个数字 (0-9)

最佳做法告诉我们，您应该为每个帐户使用一个唯一的密码，并且对于许多应用程序，您需要每 90-180 天更改一次密码。 祝你好运记住所有这些密码！

现实如何反映这些密码要求？ 大多数用户实际上会使用一两个，也许三个大多独特的密码，可能对更重要的应用程序略有变化（在末尾添加“1”）。 这意味着，一个被泄露的密码对于攻击者窃取多组凭证来说是一个良好的开端。 我们怎样才能阻止这种情况发生？

实施安全性始终需要在安全性和用户便利性之间找到平衡。 在我们快节奏的工作环境中，完全消除网络钓鱼引发的攻击可能是一项艰巨的任务，甚至可能是不可能完成的任务。 那么，我们该怎么做？ 

多因素身份验证 (MFA) 是阻止或至少显著减少因网络钓鱼导致的凭证泄露所造成的损害的最佳解决方案。 MFA 包括您知道的东西（密码）、您拥有的东西（令牌）甚至您自己的东西（生物识别）。 通过输入您的用户名、密码并提供某种一次性令牌或物理验证，您可以确保只有经过批准的用户才能访问您的应用。

如果您碰巧与一群独角兽合作，如第一段所述，那么仍然有大量证据表明您仍然应该实施 MFA 解决方案。 虽然网络浏览器和密码管理器确实有助于帮助用户遵守最佳实践，但攻击者也将目光瞄准了它们。 当用户选择自动填充功能时，攻击者可以隐藏街道地址、出生日期和电话号码等敏感字段，甚至密码，同时只显示姓名和电子邮件等基本输入框。 这意味着用户的密码和其他敏感信息会被不情愿地输入到用户无法看到的文本字段中。 但是，有方法可以混淆输入的文本并对其进行加密，使其无法读取。

您的用户希望从任何地方使用任何设备连接到应用，因此您需要帮助他们安全地做到这一点。 F5 的应用访问解决方案可与众多 MFA 供应商轻松集成，以便您为用户提供第二因素甚至第三因素或更高级别的身份验证选择（即通过身份验证器应用程序的一次性密码 [OTP] 手机推送通知、Yubikey 等）。 此外，当与 F5 的反欺诈解决方案（如F5 WebSafe）联合部署时，在线表单中输入的文本（包括用户名和密码）可以被混淆和加密，以提供额外的保护。

对您的应用进行安全的身份验证，并为您的用户提供简单但增强的体验，这对每个人来说都是安全的。