使用弱口令可能会导致系统被恶意攻破,从而泄露隐私信息或重要数据,通常企业不少员工会使用容易记忆的数字或字母作为系统登录密码,像是连串的数字、姓名+生日、键盘字母连排等,但这种口令强度很低,很容易被猜测或被暴力破解。而自动生成的密码虽然强度很高,但却很难记忆,并且当在公用设备上登录时也有被攻击的风险。
除了密码,不少系统还会借助短信验证码登录,但如果验证码未设置有效时间,或是验证码被劫持,系统一样有被攻破的风险。
群晖的免密登录Secure SignIn,支持FIDO 2,借助指纹、人脸识别等不易被复制的生物特征,将手机批准登录、macOS Touch ID、Windows Hello以及USB安全密钥作为验证机制,从而实现真正的免密登录群晖NAS。
免密登录,多种凭证登录NAS
通过软件或硬件验证来实现免密登录群晖NAS,以此来提高系统登录安全。软件验证,是以Secure SignIn App将手机作为验证群晖NAS的桥梁,通过App获取手机批准登录。此外,群晖新增支持国际数据安全标准FIDO 2,加上符合U2F标准的硬件密钥,也可实现免密登录,包括电脑设备的指纹和人脸识别,以及USB安全密钥,都可作为NAS的硬件验证凭证。
免密登录不仅避免在公用设备上输入密码而存在被破解的风险,并且也避免了由于密码单一简短的泄露隐患,此外还简化了身份验证流程,无需借助密码生成器或短信验证码。
通过Secure SignIn App免密登录,适应更日常的使用场景,只需在手机上验证批准即可,相比密码输入及短信验证码登录,具备3点优势:
1)无需输入密码。针对密码的网络攻击层出不穷,企业用户如果使用弱口令或在公用电脑输入了密码,甚至电脑被钓鱼软件攻击后,都可能被盗取密码并且对系统进行攻击。Secure SignIn使用的批准登录,就可以避免密码的输入来回避风险。
2)避免短信嗅探攻击。许多系统采用短信验证码登录,虽然比输入密码更安全,但是验证码一旦被劫持,系统仍有被入侵风险。而群晖Secure SignIn使用端到端加密技术,保证密钥在不安全信道上的传输安全。
3)避免验证码爆破。通常短信验证码为6位数字,有些甚至没设置有效时间,很有可能被爆破。Secure SignIn使用长密钥,并且限制有效时间,降低爆破可能性。
而硬件验证方式适合有较高安全需求的企业,需要通过HTTPS使用域名登录NAS,借助电脑内置的指纹、人脸识别密钥,来完成免密登录。不论是软件还是硬件验证,都能更好提升登录安全。
灵活搭配,双重验证满足更高安全机制
很多用户一直保留着使用2步骤验证登录的习惯,也就是在密码的基础上,额外输入一组一次性的具有简短效期的数字密钥,也就是OTP动态验证码。随着DSM 7.0登录机制的优化,2步骤验证升级为双重验证,而OTP动态验证码也集合到Secure SignIn App中,当进行双重验证登录时,会自动生成一组6位数的动态码。开启双重验证后,可以灵活搭配双重登录方式,在输入密码后,可以在OTP动态码、软件验证、硬件验证选择其一,作为第二重登录保护。
而除了网页端登录DSM时可以使用双重登录,在部分群晖移动端App、桌面客户端登录时,在输入密码后,还需输入OTP动态码。对于像是研发、金融等行业,系统登录安全等级较高,移动设备及电脑均为统一采购的公用设备,有明确的密钥口令,以此防止可疑人员恶意破解。例如一些敏感性较高的研发文档,在登录Drive客户端时,可以使用双重验证,来增强登录防护。
备份登录密钥,异常登录实时通知
Secure SignIn App可以将OTP配置文件和批准登录帐户自动备份到Synology帐户,当手机遗失时,首先移除遗失的手机设备,并且在新手机上还原备份帐户和配置文件即可。
此外,当发生可疑登录行为,或某个IP登录失败多次,还会通过邮件和Secure SignIn App发送通知。企业系统运维人员还可以查看登录日志,并设置IP黑白名单来及时保护系统安全。
通过群晖全新的软、硬件免密验证登录,可以避免系统因弱口令而被破解的风险。而双重验证提供的灵活搭配,不仅满足不同行业的使用需求,也防止未经授权的设备或人员登录企业系统。而在发现有恶意攻击的情况时,也可以立即封锁IP黑名单,为系统增加安全防护。