6月19日，Reddit得知一名攻击者通过该公司的云和源代码托管提供商入侵了多个员工账户：[来源]Reddit的信息没有被修改，公司很快采取行动锁定专有数据，但这仍然引起了Reddit用户社区的关注。这起盗窃案包含了一份旧数据库备份的完整副本，其中保存了Reddit早期用户的个人数据。这主要包括账户凭证（用户名+加了盐的散列密码）、电子邮件地址和信息——窃贼可以回收这些有价值的信息来访问其他账户，比如健康或财务记录。这是今年数百起违规事件之一。据Statista统计，美国共发生668起数据泄露事件，暴露了2200多万条个人记录。十多年来，破门而入的速度一直在稳步上升。像Reddit这样的公司如何在日益危险的环境中保护自己？这篇文章深入探讨了在攻击发生之前你可以用来帮助你的公司抵御攻击的关键策略，并告诉你如果不幸发生了该怎么做。为什么双因素身份验证没有阻止Reddit的数据泄露？尽管Reddit采用了双因素认证（2FA）防护罩，但它是基于短信的，主要攻击是通过短信拦截发生的。所有形式的2FA都需要用户提供第二种形式的身份证明（除了简单的密码之外），才能访问系统。最常见的2FA方法通过SMS/文本消息向用户发送一个唯一的令牌。[来源]这通常是一个5到10位的代码，用户在成功输入用户名和密码后输入。许多企业选择了这种方法，因为双因素身份验证是用户友好的（几乎每个人都熟悉接收短信），而且设置起来也很便宜。然而，工业物联网，这种方法显然存在漏洞。SMS 2FA易受手机连接的波动影响，并且很容易被第三方拦截。更安全的版本是使用软件令牌。随着智能手机的兴起，2FA中的软件代币近年来越来越受欢迎。微软Authenticator是一个基于令牌的流行软件解决方案的一个例子，它可以为Reddit提供一道更严密的墙来抵御黑客。Microsoft Authenticator是许多类似工具之一，包括Google Authenticator、Twilio Authenticator和LastPass Authenticator。它们都依赖基于时间的一次性密码（TOTP）算法来生成一个短暂的（30秒或更少）密码。用户必须在过期前将密码复制到网站或应用程序的必填字段中进行验证。"sms2fa易受手机连接的波动影响，一站式建站，很容易被第三方截获。更安全的版本是使用软件令牌。"在推特上留言其他形式的2FA可以阻止Reddit数据泄露硬件令牌是许多企业使用的另一种方法。它们依赖一个物理设备，如遥控钥匙或USB加密狗，为用户生成令牌。[来源]与短信和软件令牌不同，硬件令牌不需要手机接收，大数据包括，甚至不需要Wi-Fi；但是，原生淘客app，它们的设置和维护成本很高。此外，员工经常将硬件令牌放错地方或与其他个人设备混淆。有几个团队依靠电子邮件或电话验证，用户收到带有字母数字令牌的链接或语音记录。虽然这些选项也相对便宜且易于设置，但它们可能会像SMS令牌一样，传递失败，并且容易被拦截。多因素身份验证（MFA）的一个令人兴奋的领域是生物特征识别。这完全消除了额外的设备，而是依赖于用户固有的凭证，如指纹、视网膜，甚至步态。将2FA作为更大的身份策略的一部分，以阻止网络盗窃双因素身份验证是当今企业安全的一个重要组成部分，尽管事实上只有28%的人使用2FA。虽然帮助所有用户实现2FA很重要，但像ReDDIT这样的公司应该考虑身份管理的其他元素。例如，像Auth0这样的身份管理提供商有几个规则，用户可以快速打开这些规则来立即检测系统中的欺诈行为并对其采取措施。仪表板视图还允许系统管理员观察给定时间发生的所有活动。与尝试使用不同的用户数据流（例如，一个地方的新注册和另一个地方随时间推移的历史使用）不同，构建良好的仪表板可以在同一位置提供此信息的多个可视化效果。从那里，管理员可以迅速采取行动，当他们看到有什么不对劲。使用Auth0的异常检测功能，您可以实现多个来自仪表板的屏蔽，这些屏蔽将在登录尝试失败一定次数后阻止用户。此外，如果您知道他们的信息最近在一次重大安全事件中被泄露，您可以从这些帐户中筛选登录。例如，如果Reddit提供了这些信息，Auth0将标记这些电子邮件，以防Reddit窃贼使用这些凭证来冒充用户。当攻击来自多个角度时，你能采取的步骤越多，你的身份管理系统就会越好。数据泄露发生后如何帮助用户当你得知你的系统已经被破坏时，最重要的是立即与它沟通并采取行动。向执法部门报告违规行为，包括您掌握的盗贼能够访问的账户数量和类型的任何数据。通过发送电子邮件或其他方式尝试验证帐户持有人是否仍然是他们所说的那样，测试您认为可能已被泄露的帐户。立即改进您的登录系统和任何当前的2FA方法，并考虑将您的身份管理系统的更多元素外包给专家。Reddit在其网站上迅速发布了数据泄露缓解措施：提供即时的、可操作的步骤，并提供到更详细的信息页面的链接，这是一种很好的帮助用户的方法，而不会让他们被技术信息淹没。"当你得知你的系统被破坏时，最重要的是立即与它沟通并采取行动。"在推特上留言希望您不必使用这些最后的策略；但是，考虑到当今具有挑战性的威胁环境，特别是对于拥有大量用户群的团队来说，了解最新的解决方案和安全策略是至关重要的，以避免出现最坏的情况。关于Auth0Auth0为应用程序、设备和用户提供了一个验证、授权和安全访问的平台。安全性和应用程序团队依赖Auth0的简单性、可扩展性和专业知识，使身份对每个人都有效。Auth0每月维护超过45亿次登录交易，返利软件，确保身份安全，从而使创新者能够进行创新，并使全球企业能够为其全球客户提供可靠、卓越的数字体验。更多信息，请访问https://auth0.com或在Twitter上关注@auth0。Auth0文档在几分钟内实现身份验证.灯箱{宽度：100%；高度：100%；位置：固定；顶部：0；左：0；背景：rgba（0，0，0，0.85）；z-指数：9999999；线高：0；光标：指针；}.灯箱图像{光标：指针；余量：0自动；显示：块；}.灯箱图像{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：100%；最大高度：100%；}@媒体屏幕和（最小宽度：1200像素）{.灯箱图像{最大宽度：1200px；}}@媒体屏幕和（最小高度：1200像素）{.灯箱图像{最大高度：1200px；}}.灯箱跨度{显示：块；位置：固定；底部：13px；高度：1.5em；线路高度：1.4em；宽度：100%；文本对齐：居中；颜色：白色；文本阴影：-1px-1px 0#000，1px-1px 0#000，-1px 1px 0#000，1件1件0万件；字体系列："fakt web"，"Helvetica Neue"，Hevetica，sans serif；字号：18px；}.lightbox.videowrapper容器{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：900px；最大高度：100%；}.lightbox.videoWrapperContainer.videoWrapper容器{高度：0；线高：0；余量：0；填充：0；职位：亲属；填充底部：56.333%；/*自定义*/背景：黑色；}.lightbox.videoWrapper iframe{位置：绝对；顶部：0；左：0；宽度：100%；高度：100%；边框：0；显示：块；}.lightbox上一页，.lightbox下一个{高度：50px；线高：36px；显示：无；顶部边缘：-25px；位置：固定；顶部：50%；填充：0 15px；