广州和世鑫  Synology群晖企业方案

123456

88888888

666666

123123

5201314

admin

……

这些常见的弱口令你是否使用过？或是因为使用了这些弱口令而导致系统被恶意攻破，从而泄露隐私信息或重要数据？

通常企业不少员工会使用容易记忆的数字或字母作为系统登录密码，像是连串的数字、姓名+生日、键盘字母连排等，但这种口令强度很低，很容易被猜测或被暴力破解。而自动生成的密码虽然强度很高，但却很难记忆，并且当在公用设备上登录时也有被攻击的风险。

除了密码，不少系统还会借助短信验证码登录，但如果验证码未设置有效时间，或是验证码被劫持，系统一样有被攻破的风险。

群晖DSM 7.0推出免密登录Secure SignIn，并支持FIDO 2，借助指纹、人脸识别等不易被复制的生物特征，将手机批准登录、macOS Touch ID、Windows Hello以及USB安全密钥作为验证机制，从而实现真正的免密登录群晖NAS。

通过软件或硬件验证来实现免密登录群晖NAS，以此来提高系统登录安全。软件验证，是以Secure SignIn App将手机作为验证群晖NAS的桥梁，通过App获取手机批准登录。此外，群晖新增支持国际数据安全标准FIDO 2，加上符合U2F标准的硬件密钥，也可实现免密登录，包括电脑设备的指纹和人脸识别，以及USB安全密钥，都可作为NAS的硬件验证凭证。

免密登录不仅避免在公用设备上输入密码而存在被破解的风险，并且也避免了由于密码单一简短的泄露隐患，此外还简化了身份验证流程，无需借助密码生成器或短信验证码。

通过Secure SignIn App免密登录，适应更日常的使用场景，只需在手机上验证批准即可，相比密码输入及短信验证码登录，具备3点优势：

1）无需输入密码。针对密码的网络攻击层出不穷，企业用户如果使用弱口令或在公用电脑输入了密码，甚至电脑被钓鱼软件攻击后，都可能被盗取密码并且对系统进行攻击。Secure SignIn使用的批准登录，就可以避免密码的输入来回避风险。

2）避免短信嗅探攻击。许多系统采用短信验证码登录，虽然比输入密码更安全，但是验证码一旦被劫持，系统仍有被入侵风险。而群晖Secure SignIn使用端到端加密技术，保证密钥在不安全信道上的传输安全。

3）避免验证码爆破。通常短信验证码为6位数字，有些甚至没设置有效时间，很有可能被爆破。Secure SignIn使用长密钥，并且限制有效时间，降低爆破可能性。

而硬件验证方式适合有较高安全需求的企业，需要通过HTTPS使用域名登录NAS，借助电脑内置的指纹、人脸识别密钥，来完成免密登录。不论是软件还是硬件验证，都能更好提升登录安全。

Secure SignIn App可以将OTP配置文件和批准登录帐户自动备份到Synology帐户，当手机遗失时，首先移除遗失的手机设备，并且在新手机上还原备份帐户和配置文件即可。

此外，当发生可疑登录行为，或某个IP登录失败多次，还会通过邮件和Secure SignIn App发送通知。企业系统运维人员还可以查看登录日志，并设置IP黑白名单来及时保护系统安全。

通过群晖全新的软、硬件免密验证登录，可以避免系统因弱口令而被破解的风险。而双重验证提供的灵活搭配，不仅满足不同行业的使用需求，也防止未经授权的设备或人员登录企业系统。而在发现有恶意攻击的情况时，也可以立即封锁IP黑名单，为系统增加安全防护。