根据 RU-CENTER 的一项研究,在收入最大的 5,000 家俄罗斯公司中,只有 11% 在其域帐户中启用了双因素识别,并且只有 3% 的公司禁止来自他人 IP 地址的交易。这些统计数据表明,企业常常低估其数字资产的风险。我们告诉您需要采取哪些措施来保护您的帐户和域名免遭盗窃和黑客攻击。
为什么保护您的注册商帐户很重要?
每天,RU-CENTER 都会记录数百次 图书馆商店 自动猜测密码和对域执行关键操作的尝试。在这种情况下,防病毒或安全插件无济于事:它们只能确保网站的安全。您的域名注册商帐户必须单独受到保护。
积极参与公关推广的大型政府组织和公司面临风险。在这种情况下,媒体曝光比企业规模发挥的作用更大:品牌越知名,犯罪分子就越关注它。
如果欺诈者获得了您的域名注册商帐户的访问权限,他们可以:
- 使用有关公司的机密信息;
- 更改名称服务器并将流量从真实站点重定向到虚假站点;
- 暂停域名委托并限制对该网站和与该域名相关的其他服务(例如公司邮件)的访问;
- 将域名链接到另一个帐户或将其转移到另一个注册商;
- 将域名拍卖以转售。
如何保护您的域帐户
为了保护自己免受诈骗,域名所有者务必遵循下述所有五个步骤。
1. 设置不同级别的个人帐户访问权限
这将降低关键设置的访问权限落入坏人之手的风险。例如,RU-CENTER 中的帐户可以使用两个密码进行保护:管理密码和技术密码。
管理密码是强制性的;所有者在签订协议时与注册商一起设置。它允许您完全控制您的帐户:更改所有设置、订购服务和管理您的个人帐户。该密码应提供给负责公司财务和战略的两到三名员工。
技术密码是可选的;所有者 如何做好头发营销吸引顾客 以自行决定。它允许您更改某些设置,但不允许您注销资金或管理订单。该密码可以与其他公司员工或承包商共享。例如,与开发人员或网络工作室合作。
与此同时,即使是技术密码也应该只与受信任的人共享,因为它可以访问影响网站运行的设置。例如,它允许您更改域名服务器。
这是密码在您的 RU-CENTER 帐户中的显示方式
2.链接电子数字签名
如果您设置使用增强的电子数字签名登录您的帐户,则无需每次都输入您的登录名和密码。这将有助于防止身份验证数据泄露。
要使用此选项,您需要在注册商的个人帐户中链接签名,并在登录时单击“通过电子签名登录”按钮并按照屏幕上的说明进行操作。
电子数字签名 – 使用登录名和密码登录的替代方法
3.启用双因素身份验证
使用此选项,登录您的域名注册商帐户将分两步进行。首先,用户需要输入密码,然后输入通过短信或特殊移动应用程序(例如 Yandex Key)提供的一次性代码。
借助双因素身份验证,攻击者将更难破解您的个人帐户:为此,您需要获得对密码和确认码将发送到的设备的访问权限。
在 RU-CENTER 中,您可以为所有密码设置双因素身份验证
4. 设置禁止通过电子邮件更改密码
如果域名所有者忘记了其个人帐户的密 ASB名录 码,他可以通过电子邮件恢复。该方法默认在 RU-CENTER 账户中配置。
此选项对用户来说很方便,但也使帐户容易受到攻击。如果诈骗者破解了域名所有者的电子邮件,他们可能会尝试欺骗域名注册商,更改其个人帐户的密码,并窃取域名。我们在关于公司中应该监控谁的文章中详细讨论了其中一个案例。
为消除风险,您应禁止通过电子邮件更改密码。只有通过所有者的正式信件并附上其护照复印件才能恢复访问。
设置禁令后,攻击者将无法窃取域名
5.配置IP登录限制
IP 地址可让您确定您的互联网连接来自何处。如果您通过 IP 地址限制登录,则您只能从连接到具有授权 IP 的网络的设备登录您的帐户。
例如,域管理员可以将其家庭和办公室 IP 地址添加到列表中。这样,即使欺诈者有用户名和密码,也无法从其 IP 地址登录该帐户。
在 RU-CENTER 中,您可以配置有关来自陌生 IP 地址的登录尝试的通知
域名注册商如何保护用户
为了确保客户账户的安全,RU-CENTER 采用以下解决方案。
增强型电子签名验证
欺诈者可以伪造普通印章或签名。因此,要更改管理员或恢复密码,RU-CENTER 仅接受带有增强型电子签名的文档。它受私钥保护,难以伪造。
在您的帐户中保存活动历史记录
用户可以随时登录自己的个人账户,查看最近发生了哪些变化。如果您的帐户显示所有者一无所知的操作,或者出现来自其他人设备的登录信息,您应该迅速更改密码、采访员工或联系 RU-CENTER 支持人员。
有关帐户活动的警报
如果域名所有者订阅帐户活动月度报告,他将收到一封电子邮件摘要,其中包含其个人帐户中的所有登录和更改。这将使您了解您的帐户发生的所有情况并快速识别可疑活动。
账户安全是客户和注册商之间的共同目标
通常,注册商会尽力保护客户端域:保存帐户操作历史记录、发送活动报告并限制对关键更改的访问。但由于法律和技术限制,注册商无法左右所有风险。例如,如果所有者将帐户密码提供给未经验证的人,注册商可能会尽力提供帮助,但域名所有者将对后果承担全部责任。
本文中的提示是基本保护,对于每个人来说都很重要。如果域名对于公司来说是宝贵的资产,那么就值得添加其他选项。我们在有关存在哪些域安全级别的文章中更详细地讨论了它们
另请阅读:
- 连接哪些服务来保护您的域
- 公司中谁应该监控域?
- 为什么域名会被阻止以及如何避免它