最容易遭到黑客攻擊的習慣，或許您也有

E安全5月7日文 誰也無法保證網路的絕對安全，即使組織機構有數百萬美元的IT預算，但仍無法擺脫因數據泄露登上頭條新聞的噩夢，甚至連政府情報機構都無法守住自己的黑客工具（今年3CIA大量敏感文件和黑客工具泄露），正所謂道高一尺魔高一丈，網路攻擊防不勝防。

E安全小編推薦閱讀：

部分CIA的漏洞利用工具乾貨請查收

影子經紀人泄漏美國NSA的117.9MB黑客工具包淺析

雖然軟體解決方案、應用程序、服務以及硬體提供商可以提供高品質解決方案，但阻止入侵和淪為受害者之間的差距通常體現在人為監督上，例如，技術安全保護通常容易被社交工程和人為錯誤破壞。

事實上，CompTIA發布的2016國際網路安全趨勢報告指出，58%的網路入侵因人類錯誤所致，42%因技術錯誤造成。

例如，索尼影業數據被泄導致員工個人信息、電子郵件、甚至未發行的電影拷貝外泄，其證據表明，入侵者首先通過魚叉式網路釣魚活動欺騙員工，從而獲取了登錄憑證，繼而進一步實施入侵。

有時候，攻擊者甚至不需要誘騙員工交出登錄憑證，僅憑猜測就能獲取弱密碼。Verizon公司指出，63%的網路入侵通過被竊取的、默認或易於猜測的弱登錄憑證而得手。

如果人為錯誤在保護網路中扮演如此重要的角色，那麼組織機構應向員工培訓哪些安全知識？

顯然密碼保護和網路釣魚是攻擊者入侵的突破口，企業和組織機構可以從這兩個主要方面入手。

密碼保護

為什麼弱登錄憑證是數據泄露的關鍵因素？

因為在安全和方便之間，人們通常會圖方便，而忽視了安全。密碼重用就是例證。2012年，Dropbox之所以遭遇數據泄露事件，其原因就在於公司員工的公司賬號和私人LinkedIn賬號使用了相同的密碼，而LinkedIn在當年早些時候曾遭遇過入侵。

常見的密碼保護策略包括：

• 密碼應包含字母、數字和特殊字元；

• 要求員工定期（每個幾個月）修改一次密碼。

然而，員工經常圖方便，就會在重置密碼時僅僅修改某個字元。

本文來自於E安全官網

有人可能會提出，在適當的形勢下，放鬆某些政策和保護可能會增強密碼的安全性。美國國家標準與技術研究院（NIST）近期發布了數字身份指南草案。NIST不推薦使用複雜的、難以記住的密碼組合。相反，他們鼓勵企業讓員工使用較長、且容易記住的密碼，例如TelevisionBrainsHurtEverything或SometimesDoggyOthersChair。

除此之外，組織機構也應鼓勵員工使用密碼管理器，因為密碼管理器可以解決密碼重用和複雜的問題。雖然密碼管理器的弊端是允許通過一個主密碼有效獲取所有賬號密碼，而用戶更有可能創建並記住一個高度複雜的密碼，例如Min97$XP19*244，而不是每個賬號上設置多個複雜的密碼。

除此之外，組織機構還應在技術層面為用戶提供安全性。例如，Wi-Fi聯盟最近推出了Wi-Fi
Passpoint標準，旨在改進連接客戶端公共Wi-Fi熱點的實用性和安全性。Wi-Fi
Passpoint代替非加密（開放）的熱點或輸入共享密鑰，而是允許熱點用戶創建一個Wi-Fi
Passpoint賬號。人們使用保存在移動設備上的這個賬號自動連接到受WPA2 Enterprise 安全保護的Wi-Fi
Passpoint熱點。

網路釣魚騙局

網路釣魚電子郵件也依賴於人為錯誤，因此組織機構需要培訓員工做出更明智的安全決策。相比在遭遇勒索軟體感染後花掉整個周末的時間費盡心思恢復備份，培訓員工識別網路釣魚攻擊無異於讓你享受美好的周末，明顯輕鬆許多。

用戶要警惕攻擊者利用未經請求的電子郵件發起網路釣魚活動。網路釣魚電子郵件看起來像是合法的，然而其中卻包含惡意軟體，例如發送重置Apple.com密碼的電子郵件。大多數網路釣魚電子郵件都有一個常見特徵：出人意料。如果用戶並未請求重置Apple.com的密碼，那麼密碼重置電子郵件很有可能就是假的。

最成功的網路釣魚攻擊非常具有說服力。然而，網路釣魚攻擊無法使用合法網站的URL（排除非常特殊的個例）。用戶應對所有電子郵件中包含的網路鏈接持懷疑態度，並仔細檢查URL是否與網站匹配。切勿冒然點擊電子郵件中的鏈接，直接訪問組織機構的官網或尋找所需的頁面。

網路犯罪分子通常會尋找最薄弱的環節作為滲透網路的突破口。（相關閱讀：如果你被釣魚了一定要自我反省 像素追蹤技術告訴你這是為什麼）建議組織機構培訓員工並制定相關制度，提高員工的安全意識。此外，找到「NSA級」安全和和實用安全之間的平衡點是關鍵。提組織機構應提供網路釣魚培訓、要求員工使用密碼管理器，並鼓勵員工使用長密碼，這將有助於組織機構打擊人為因素所致的網路安全問題，並提高組織機構的整體安全態勢。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。