MFA
该标签下有 7 篇文章
AI 时代的安全防护|个人开发者现在就该夯实的基本功(按优先级排序的清单)
AI 强化的不是『新弱点』,而是『自动、大规模地利用既有弱点』那一侧。所以比起特别的新对策,按正确的顺序夯实基本功才是最好的准备。CVE 立即打补丁+依赖监控、杜绝复用+MFA、清除暴露的机密、最小权限、收缩公开面、日志/IOC 的准备、备份——全都用一份按优先级排序的清单讲清楚。
什么是网络钓鱼(Phishing)——比「识破」更可靠的防御与手法种类
网络钓鱼是冒充可信对象、诱导你进入伪造的登录页面等,窃取凭据或个人信息(或诱使你运行恶意软件)的诈骗。它的特点是攻击『人的判断』而非软件漏洞,是勒索软件与信息泄露最大的入侵入口。如今有以假乱真的假网站连一次性验证码都实时中继的中间人型(AiTM),连SMS/应用的MFA也可能被突破。可靠的防御不是『识破的注意力』,而是与域名绑定的抗钓鱼MFA(通行密钥/物理密钥)、不点链接而直接访问官方、以及邮件认证(SPF/DKIM/DMARC)。
双因素认证(MFA)如何正确选择:比 SMS 更强的「抗钓鱼」是什么
MFA 是『即使密码泄露也进不来』的双重锁,但你配了什么会让强度差三档。SMS/邮件会被钓鱼中继、SIM 交换攻破,属于弱方式;验证器 App(TOTP)居中;passkey/物理密钥(FIDO2)因为『无法对假站点出示』的抗钓鱼特性而属另一档。最优先的是给王国之钥(邮箱、域名、支付)配上抗钓鱼 MFA。再加上妥善保管恢复码、准备好备用手段,才算正确的运维。
密码管理器安全吗?工作原理与云端、本地的区别,以及如何选择
密码管理器比重复使用、明文保存更确实地安全。关键在于零知识加密=凭主密码只有端侧能解密,提供方只持有密文,所以提供方被攻破内容也不会泄露。真正的单点故障是主密码和金库的 MFA。云端型(Bitwarden/1Password)与本地型(KeePass)按用途选择。
个人开发 / 小规模运营的安全底线:把行业标准的对策一次配齐
最低限度的对策并非『全都一样重』。本站的优先级 = ①王国之钥(多因素认证 / 域名 / 邮箱)②密钥与代码 ③应用本体 ④补丁 / 检测 / 恢复。资源有限的个人,按这个顺序从上往下填才是正解。多数事故并非新型攻击,而是这块地基的缺口造成的。
安全使用手机的基础 —— 要守护的是把『钥匙串、保险箱、身份证』装进一台设备的终端
手机是把二要素、邮件、银行、身份证集中到一台设备上的单点故障。防守的重点不是安全 app,而是①强锁屏+短自动锁屏(密码就是加密的钥匙)②OS/app 自动更新 ③官方商店+权限复查 ④事先设好丢失时的远程锁定/擦除 ⑤二要素的“备份”(纸质备份码)。OS 默认已做加密与沙箱隔离。
把密码存到 Google Drive 安全吗?正确的保管方法
把密码以明文形式集中保存在 Google 文档/电子表格里很危险。原因=一个 Google 账号会成为全部密码的单点故障,账号被盗、恶意关联应用、钓鱼都能让全部密码一次性泄露。正确答案是专用密码管理器(即使在设备间同步,内容也保持加密)。如果非要用 Drive,那只能放加密过的管理文件+为账号开启抗钓鱼的 MFA。