嚴峻的資訊安全形勢
相信不少朋友已經擁有了黑白各異的群暉NAS, 既然搭建了NAS系統, 說明你已經非常重視資料的安全。
NAS提供最核心的網路存儲和分享功能, 隨時回應管理員和合法使用者的遠端服務請求, 因此必須對互聯網開放, 也不可避免地暴露在駭客或潛在入侵者面前。
常規的使用者身份認證是通過帳號系統實現的, 因此獲取帳號密碼就成了駭客入侵系統的常見手段。
攻擊的方式包括:
通過社會工程學或釣魚網站等手段猜測、騙取用戶名和密碼;
根據統計結果用密碼詞典進行暴力破解, 即依次用常見密碼嘗試登錄;
拖庫, 利用某一網站漏洞獲取了全部帳號密碼的資料庫, 再拿到其他網站嘗試登錄, 這一點是利用了人們為圖省事, 往往把同樣的帳號密碼用來註冊不同網站的心理。
針對攻擊方這些常見的安全威脅,
比如:及時發現軟體漏洞, 發佈更新補丁;限制登錄嘗試次數, 輸錯三次密碼即不允許再登錄, 這樣可以避免暴力破解;限制同一IP位址嘗試登錄次數;只允許可信任的終端訪問;定期強制使用者修改密碼等等。
Synology的安全體系
我們必須理解, 資訊安全其實是一個系統工程, 涵蓋了法律、技術、管理、硬體、軟體、人等方方面面。
由於Synology。
密碼:雖不公開, 但密碼是供人記憶和使用的, 人們為了方便記憶, 密碼不可能完全無規律【2】, 常會用吉利數位、個人生日、電話號碼、門牌號、車牌號、孩子或寵物名字等等來構造密碼。
為了省心, 不少人的密碼往往長期不變。
另外, 即使使用者具有很強的密碼保護意識, 但某些網站在存儲使用者帳號密碼的時候採用明文, 一旦被拖庫, 駭客會很開心地拿這套帳號資料去逐一試探其他主流網站的帳號。
不久前由於某郵件系統帳號洩漏, 導致使用者Apple ID失竊, 進而造成iPhone等設備被遠端鎖定勒索就是一例。
兩個字串, 一個公開, 一個脆弱, 且在存儲、傳輸、使用過程中有被竊取的可能, 造成了傳統帳號系統本身岌岌可危。
【注2】:有密碼安全管理工具是針對這一弱點, 專門生成無規律亂序密碼、保存自動填寫密碼的。 本文暫不討論。
兩步驗證技術簡介
除了不使用常見的弱密碼(666、888、520、123456、本人生日或手機號等)、經常改變密碼等基本的安全常識外, 還有一個重要的帳號保護技術是用戶必須掌握的--兩步驗證。
這是一個從軍方和間諜領域借鑒過來的技術, 是專門針對傳統帳號系統的弱點而開發的。 兩步驗證技術要求登錄時除輸入用戶名和密碼外, 還必須輸入一個由軟體自動生成的定期更新的驗證碼【3】。
驗證碼只有合法的用戶端能夠接收或者產生,
配合多次嘗試登錄失敗後拒絕訪問、同一IP多次嘗試失敗後鎖定IP位址等安全設定, 就能很好地防範密碼洩露造成的安全事故【4】。
群暉NAS的安全系統, 是支援兩步驗證技術的, 這樣我們就可以為群暉NAS的用戶帳號增加保護措施了。
【注3】:本文所述驗證碼, 並非網頁登錄頁面產生的用於識別人或機器的驗證碼, 因為這種驗證碼直接公開顯示在網頁端, 駭客肉眼可見, 沒有任何保密性可言。
【注4】:很多網銀頒發給使用者的電子密碼器, 也是使用了這一原理:電子密碼器與帳號綁定, 由用戶保管。 交易時, 或是使用者輸入網頁提示的一串字元,密碼器運算後產生驗證碼;或是密碼器定期自動產生隨機的驗證碼。
兩步驗證啟用教程
基本思路
明白了原理之後,開通兩步驗證的步驟是很簡單的
一、移動端:安裝穀歌身份驗證器
二、伺服器端:登錄管理員帳號,設置、啟用兩步驗證
三、伺服器端:登錄普通用戶帳號,設置、啟用兩步驗證
驗證碼有兩種獲取途徑:通過手機短信接收,通過軟體生成。本文推薦使用後者。由此引出了一個驗證碼生成工具--穀歌身份驗證器(Google Authenticator)。
一、移動端:安裝穀歌身份驗證器
穀歌出品的安全管理App,安裝在移動端,當與群暉帳號綁定後,每30秒鐘自動生成隨機的六位驗證碼。支援綁定多個帳號,支援多數主流軟體產品和網站(應該反過來說,被多數主流產品和網站採用,作為安全措施)。
驗證碼在本地運算產生,無需網路連接,又由於是安裝在智慧手機、平板電腦等移動端,用戶隨身攜帶和保管,保證了安全性和使用的便利性。
二、伺服器端:登錄管理員帳號,設置、啟用兩步驗證
管理員帳號的許可權最大,首先必須為其啟用兩步驗證。
1、登錄帳號,此時尚未啟用兩步驗證,所以只需用戶名和密碼即可登錄。
2、點擊桌面右上角頭像-個人設置。
3、進入個人設置頁面,注意左下方兩步驗證的設置選項,此時尚未勾選,即未啟用狀態。
4、勾選啟用兩步驗證後,自動彈出嚮導頁面。
5、拿起手機,打開穀歌身份驗證器,掃描此頁面的二維碼,以在驗證器中添加該群暉帳號(也可以理解為將群暉帳號綁定到驗證器),識別很快,立刻就能添加。
此時在手機端驗證器中,就能看到新添加的帳號,驗證碼開始每30秒更新一次。
紅圈中是另一種添加手段:在驗證器中輸入金鑰。
6、上面是手動輸入金鑰的示例,一般情況下掃描二維碼即可成功添加。
7、確認設置。身份驗證器中的驗證碼,是否已成功設置呢?這一步要確認一下,輸入手機上看到的6位元數字。注:可能會提示錯誤,可以關閉App,再次運行,或者等待更新的驗證碼,再次嘗試即可。
8、輸入電子郵寄地址,當手機丟失,無法使用身份驗證器時,可以由此得到緊急驗證碼,是一種保險手段。注意:此處並不驗證電子郵寄地址是否正確,此位址默認是創建該帳戶時填寫的。
9、至此,我們完成了為群暉NAS管理員帳號啟用兩步驗證的過程。這是保障資料資產安全的首要步驟。
三、伺服器端:登錄普通用戶帳號,設置、啟用兩步驗證
管理員帳號已受到保護,下面就要為群暉NAS系統中的其他使用者啟用兩步驗證了。使用者登錄各自帳號,按照與上面相同的步驟操作即可,此處不再重複。
四、兩步驗證啟用後,效果的檢驗
退出,重新登錄,輸入用戶名和密碼後,會出現上圖中的驗證碼輸入介面,若留空或輸入錯誤代碼,都無法繼續登錄。說明兩步驗證已經在保護你的帳號了。
伺服器端:兩步驗證的關閉
不推薦關閉兩步驗證功能。但在極少數情況下,比如使用者丟失了驗證用的手機,需要重新設置時。
用戶自行關閉
若用戶帳號正常,但由於種種原因,想關閉兩步驗證,可按上述步驟,由使用者自己登錄帳號,進入使用者-個人設置頁面,取消兩步驗證的勾選即可。
管理員超越關閉
若用戶帳號異常(不一定是洩漏,也可能是丟失手機無法驗證等原因),可登錄管理員帳號,按上述步驟,取消勾選即可。
注意事項
一、啟用後,所有用戶端訪問群暉NAS均需驗證碼
本文舉例是在PC的網頁端,實際上在啟用後,用戶從所有用戶端訪問群暉NAS,均需輸入驗證碼。比如智慧手機、平板電腦、電視盒、播放機、電視機等。
若想略過此步驟,可在安全的設備上勾選“記住本設備”。注:所謂安全的設備,是指不會被別人得到控制權或使用權的設備,比如可以將家中私有的設備或者自己隨身攜帶的手機等設為可信任的;
但絕對不要在辦公室、網吧等公共場合或者公用的設備上選擇此項。
二、手機端刪除驗證碼帳號,不等於關閉兩步驗證
只能先在伺服器端關閉。當心:若先在手機端刪除帳號,則容易導致無法登錄群暉NAS。
三、保護你的個人主郵箱
個人主郵箱,是指用來註冊其他網站、服務或軟體帳戶的郵箱,常見的註冊過程都是提供一個未註冊的用戶名、密碼,填寫主郵箱接收啟動郵件,點擊郵件中的啟動連結完成註冊過程。
當忘記密碼時,重置密碼的郵件也是預設發往主郵箱,點擊重置連結即可修改密碼。
大家的習慣往往是用一個常用的主郵箱在多個網站註冊帳戶,很明顯,主郵箱相當於一把超級鑰匙。如果主郵箱的密碼洩露了,在有心的攻擊者手中,你的所有帳戶實際上已經沒有任何安全保障。
因此,在保護群暉NAS之前,首先要做的是保護你的個人主郵箱,首選的保護手段?
本文依然推薦:啟用兩步驗證,方法和步驟都類似,不再重複。
總結
兩步驗證已經是公認的低成本高強度帳號保護技術,被穀歌、群暉、蘋果等主流廠商所支援和採用。對於廣大NAS用戶,啟用兩步驗證,是為NAS構築的第一道防線,是緊迫且必要的。
閱讀更多相關內容 請點擊 瞭解更多↓↓↓
兩步驗證啟用教程
基本思路
明白了原理之後,開通兩步驗證的步驟是很簡單的
一、移動端:安裝穀歌身份驗證器
二、伺服器端:登錄管理員帳號,設置、啟用兩步驗證
三、伺服器端:登錄普通用戶帳號,設置、啟用兩步驗證
驗證碼有兩種獲取途徑:通過手機短信接收,通過軟體生成。本文推薦使用後者。由此引出了一個驗證碼生成工具--穀歌身份驗證器(Google Authenticator)。
一、移動端:安裝穀歌身份驗證器
穀歌出品的安全管理App,安裝在移動端,當與群暉帳號綁定後,每30秒鐘自動生成隨機的六位驗證碼。支援綁定多個帳號,支援多數主流軟體產品和網站(應該反過來說,被多數主流產品和網站採用,作為安全措施)。
驗證碼在本地運算產生,無需網路連接,又由於是安裝在智慧手機、平板電腦等移動端,用戶隨身攜帶和保管,保證了安全性和使用的便利性。
二、伺服器端:登錄管理員帳號,設置、啟用兩步驗證
管理員帳號的許可權最大,首先必須為其啟用兩步驗證。
1、登錄帳號,此時尚未啟用兩步驗證,所以只需用戶名和密碼即可登錄。
2、點擊桌面右上角頭像-個人設置。
3、進入個人設置頁面,注意左下方兩步驗證的設置選項,此時尚未勾選,即未啟用狀態。
4、勾選啟用兩步驗證後,自動彈出嚮導頁面。
5、拿起手機,打開穀歌身份驗證器,掃描此頁面的二維碼,以在驗證器中添加該群暉帳號(也可以理解為將群暉帳號綁定到驗證器),識別很快,立刻就能添加。
此時在手機端驗證器中,就能看到新添加的帳號,驗證碼開始每30秒更新一次。
紅圈中是另一種添加手段:在驗證器中輸入金鑰。
6、上面是手動輸入金鑰的示例,一般情況下掃描二維碼即可成功添加。
7、確認設置。身份驗證器中的驗證碼,是否已成功設置呢?這一步要確認一下,輸入手機上看到的6位元數字。注:可能會提示錯誤,可以關閉App,再次運行,或者等待更新的驗證碼,再次嘗試即可。
8、輸入電子郵寄地址,當手機丟失,無法使用身份驗證器時,可以由此得到緊急驗證碼,是一種保險手段。注意:此處並不驗證電子郵寄地址是否正確,此位址默認是創建該帳戶時填寫的。
9、至此,我們完成了為群暉NAS管理員帳號啟用兩步驗證的過程。這是保障資料資產安全的首要步驟。
三、伺服器端:登錄普通用戶帳號,設置、啟用兩步驗證
管理員帳號已受到保護,下面就要為群暉NAS系統中的其他使用者啟用兩步驗證了。使用者登錄各自帳號,按照與上面相同的步驟操作即可,此處不再重複。
四、兩步驗證啟用後,效果的檢驗
退出,重新登錄,輸入用戶名和密碼後,會出現上圖中的驗證碼輸入介面,若留空或輸入錯誤代碼,都無法繼續登錄。說明兩步驗證已經在保護你的帳號了。
伺服器端:兩步驗證的關閉
不推薦關閉兩步驗證功能。但在極少數情況下,比如使用者丟失了驗證用的手機,需要重新設置時。
用戶自行關閉
若用戶帳號正常,但由於種種原因,想關閉兩步驗證,可按上述步驟,由使用者自己登錄帳號,進入使用者-個人設置頁面,取消兩步驗證的勾選即可。
管理員超越關閉
若用戶帳號異常(不一定是洩漏,也可能是丟失手機無法驗證等原因),可登錄管理員帳號,按上述步驟,取消勾選即可。
注意事項
一、啟用後,所有用戶端訪問群暉NAS均需驗證碼
本文舉例是在PC的網頁端,實際上在啟用後,用戶從所有用戶端訪問群暉NAS,均需輸入驗證碼。比如智慧手機、平板電腦、電視盒、播放機、電視機等。
若想略過此步驟,可在安全的設備上勾選“記住本設備”。注:所謂安全的設備,是指不會被別人得到控制權或使用權的設備,比如可以將家中私有的設備或者自己隨身攜帶的手機等設為可信任的;
但絕對不要在辦公室、網吧等公共場合或者公用的設備上選擇此項。
二、手機端刪除驗證碼帳號,不等於關閉兩步驗證
只能先在伺服器端關閉。當心:若先在手機端刪除帳號,則容易導致無法登錄群暉NAS。
三、保護你的個人主郵箱
個人主郵箱,是指用來註冊其他網站、服務或軟體帳戶的郵箱,常見的註冊過程都是提供一個未註冊的用戶名、密碼,填寫主郵箱接收啟動郵件,點擊郵件中的啟動連結完成註冊過程。
當忘記密碼時,重置密碼的郵件也是預設發往主郵箱,點擊重置連結即可修改密碼。
大家的習慣往往是用一個常用的主郵箱在多個網站註冊帳戶,很明顯,主郵箱相當於一把超級鑰匙。如果主郵箱的密碼洩露了,在有心的攻擊者手中,你的所有帳戶實際上已經沒有任何安全保障。
因此,在保護群暉NAS之前,首先要做的是保護你的個人主郵箱,首選的保護手段?
本文依然推薦:啟用兩步驗證,方法和步驟都類似,不再重複。
總結
兩步驗證已經是公認的低成本高強度帳號保護技術,被穀歌、群暉、蘋果等主流廠商所支援和採用。對於廣大NAS用戶,啟用兩步驗證,是為NAS構築的第一道防線,是緊迫且必要的。
閱讀更多相關內容 請點擊 瞭解更多↓↓↓