2018年五個保護自身信息安全的實用技巧
相信無論你有沒有關注過個人的網路安全,在2018年里,你或多或少都聽到過有關網路黑客的新聞。別的不說,單是開房信息泄露、精準電信詐騙的新聞就讓我們心有餘悸。經過調查,犯罪的根源就出在網路安全上,犯罪份子利用技術手段攻擊目標設備或網路,並在網站植入木馬病毒盜取信息,實施詐騙或精準攻擊。
那麼個人信息如何從這些渠道被泄露出去?一方面是技術原因,比如信息系統存在安全方面的漏洞,安全漏洞被黑客入侵造成存儲管理的數據泄露;另一方面是管理原因,一些掌握個人信息數據的人可能會販賣這些數據;此外也存在一些掌握個人信息數據的人,由於信息安全意識薄弱,無意識地泄露他人信息。所以無論從哪個角度看,保護我們的網路隱私都是非常重要的。
從企業的角度來看,網路安全也一直是一個長期存在的問題。目前,全球總共有超過幾百萬個網路安全職位處於空缺狀態,而數量如此之大的空缺職位在網路安全行業中是從未出現過的。
從政府的角度看,希拉里的郵件門已經導致了美國政治的出人意料的走向,至今還影響著美俄關係。從網路攻擊的發展趨勢看,今年的網路攻擊不論是從技術上還是從攻擊模式上,都呈現了前所未有的變化。
從近期網路犯罪的發展趨勢來看,它們不但在技術上越來越高超,而且在發展模式上也越來越極具創意和多樣性,截至目前,總共有三種類型的網路犯罪模式:
平台模式
這兩年新興的像Adwind 「惡意軟體服務(Malware-as-a-Service,MaaS)」模式可以幫助缺乏技術經驗的個人在其平台上購買或租賃 Angler、Neutrino、RIG 等流行的漏洞利用工具包,這種商業模型的發展毫無疑問將極大降低了網路犯罪的技術門檻,開啟了網路犯罪的服務新模式。MaaS商業模型興起的原因主要有一下四個方面:
1. 易用
漏洞利用工具包的主要賣點之一是易用性。所有內容都經過預編碼,客戶可以將內嵌的控制台和對用戶友好的 Web 界面結合使用,策劃自己所需要的網路攻擊。
2. 性價比高
大多數漏洞工具包都有買斷和出租兩種銷售模式,這樣可以最大化滿足不同消費能力的網路罪犯。保證了消費者可以用低投入換取優秀的投資回報。此外,很多漏洞包都帶有安裝即收費功能,消費者可以只為成功的感染買單,進一步降低攻擊成本。
3. 可定製性非常高
大多數漏洞工具包都帶有多種配置模式及插件,攻擊者甚至可以選擇自製惡意軟體作為主要的攻擊載荷,可定製性非常高。攻擊者可以使用勒索軟體鎖定受害者在使用的設備、用銀行木馬竊取個人信息、讓受感染設備加入殭屍網路,或者發動針對性攻擊。
4. 隱匿
如果將漏洞利用工具打包,意味著暴露面就越少。因此,大多數漏洞包都附帶了多種逃避傳統反病毒軟體檢測的方法。比如使用多態滴入、每天更改目標設備上的惡意代碼、使用比特幣作為支付手段等。
開源模式
像Mirai、Zeus 等惡意代碼開源模式,開啟了「潘多拉之盒」,造成了這些惡意代碼家族的變種泛濫、影響巨大(對運營商、對金融系統,效果已經顯而易見),這種「開源」模式極大的增加了惡意代碼的威脅能力和預防難度。
勒索軟體服務(RaaS)模式
許多人把2016年稱為勒索軟體元年,這是因為那一年勒索軟體的感染設備迅速上升,而且當時勒索軟體的魔爪很快伸向物聯網設備、PoS機和自動取款機。如果在設備感染了勒索軟體之後你還想要回你的數據和文件,那麼你恐怕得向攻擊者支付贖金了,可見不論是個人還是任何組織都必須重視網路安全。
今天小編就和大家分享五個能夠保護個人網路安全的技巧,雖然說知道這些技巧後,不一定能百分百保證你的信息不被盜,但可以肯定的是一般的網路攻擊都不會對你的網路信息安全造成影響。
一、密碼管理器:帶著走遍天下都不怕賬戶被破解
現在,我們的生活已經離不開各種密碼,各種網站、網銀、電腦操作系統、微博、QQ、微信等等。許多人都喜歡將所有地方的密碼設置成同一個,這樣做雖然容易記憶,但是似乎不怎麼樣安全。只要有一個網站的數據被黑,黑客就會根據你的用戶名和密碼猜出你其它網站的密碼,要是自己的銀行賬戶或者重要信息被才出來,那後果可就不堪設想了。「密碼復用」問題將會真正得到重視密碼復用是人們在日常生活的一種非常不好的習慣,近來雅虎和推特的大規模信息泄露事件,也加強了人們對使用獨立密碼重要性的認識。
2017年如果再發生幾個類似的重大事件,那時人們會更主動地去使用獨立密碼。但是如果將對不同的網站設置不同的密碼,那麼想要挨個記住就不太容易了。許多人喜歡用App來管理密碼,但是一旦設備感染而已程序,App中的密碼也不安全了,甚至自己所有的密碼會被一股腦的全被黑客知道,危險性似乎更高。
不過有了密碼管理器,就可以瞬間解決這些難題了。下面小編就推薦的四款密碼管理軟體,供大家選擇。
1.1Password
2.LastPass
3.KeePass
4.PasswordBox
1Password目前在Mac和iOS上享譽最棒的密碼管理軟體,Mac和iOS均有中文,但Windows對不起,可能1Password官網對Windows有仇(因為 Windows 版本舊且太丑,目前無中文語言界面)。單一平台單一版本需要高達百元費用,例如Mac OSX單一平台(但仍然可以與家人、情侶共用)費用是三百多人民幣,而且只能在Mac OSX平台上用。
LastPass可以跨平台使用,可惜它採取的密碼保管只有兩種方式:上傳服務端和本地端保管。不過我認為理想的安全方式應該是本地端保管,而不是上傳服務端,因為Web端具有被攻破的可能(已有新聞報道 LastPass 服務端被攻破),而且服務端根本沒有必要保管的需要。費用可能沒有1Pssword這麼貴,但仍然很貴,目前都有中文翻譯版。
KeePass是開源免費的,KeePass Password Safe就是專門為了解決人類記不得眾多密碼的問題所產生的,它包含了一個強大的密碼產生引擎與加密儲存機能,能夠提供一個安全的密碼儲存空間,仍然是跨平台可用。KeePass是一款管理密碼的開源的免費軟體,KeePass將密碼存儲為一個資料庫,而這個資料庫由一個主密碼或密碼文件鎖住,也就是說我們只需要記住一個主密碼,或使用一個密碼文件,就可以解開這個資料庫,就可以獲得其他的密碼內容。不用擔心安全,這個資料庫採用當今非常安全的密碼演算法AES 和 Twofish。
不過有了密碼管理器,並不代表我們的密碼就萬無一失了,首先一個密碼管理器會集中我們所有的密碼記錄,萬一生產密碼管理器的公司本身發生了安全事件,那情況就更嚴重了。不過目前來看,對付「密碼復用」的最好方式就是使用密碼管理器了,誰讓密碼是一個糟糕的安全系統呢?只要它存在一天,我們就得加倍小心。
二、啟用雙因素身份驗證
雙因素身份認證(two-factor authentication )可以確保驗證具有唯一性,不會與其他人重複到。目前我們有 3 種認證方式:
1.一種是只有你已經知道的一組數字,就是一般我們手機上以簡訊方式給你的那些驗證碼。
2.一種是USB 鑰匙或通過手機進行掃描驗證。
3.一種是你與生俱來的,例如指紋或其他特徵。
雙因素身份認證,就是結合了兩種不同的驗證方式,比如在你登錄一個需要雙重驗證的郵箱時,你首先要輸入正確的用戶名和密碼,其次郵件伺服器會給你發送一組數字,然後你再輸入這些數字才能登錄進去或是進行二維碼掃描進行身份確認。
目前很多的網站服務都會支持雙因素身份認證,包括 Facebook、Twitter、Apple ID、iCloud、亞馬遜、Paypal、LinkedIn、Snapchat 和 WordPress.com 等。大多數雙因素身份認證的網站都會請求你開啟雙因素認證。
對於使用者來說,這當然非常方便,但是卻也有一定的安全隱憂。如果你在這款信任的設備上關閉了雙因素身份認證,這就使得黑客可以輕鬆地盜取你的信息,因此對於這一點也要時刻注意。
在大多數情況下,你的手機將會是你的雙因素身份驗證的最終設備。在很多情況下,我們需要利用手機來接收驗證碼,或者透過特殊的 App 來產生驗證碼。
但是,手機也是最容易遺失或攻擊的設備。幸好,大多數的網路服務都有對應的緊急計劃。一些公司允許你使用備用號碼來進行恢復你的帳號,比方說你可以指定你的朋友、親人的手機號碼,來當作這個備用號碼(比如你在其他人的手機上登錄你的微信,就需要指定你的三個好友來進行身份驗證)。另外,比較少數的網路服務公司,則會讓你可以多設一組備用密碼,讓你在需要的時候透過這個密碼來恢復帳號。
三、對付勒索軟體的笨辦法——提前做好備份
假如你是一個公司老闆,周一剛回到崗位,卻發現整個公司的業務系統癱瘓,電腦屏幕彈出一個黑客勒索信息:「你們的所有系統已經被我鎖死,快給我拿幾十萬過來否則撕票!」這時你會怎麼辦,給錢?或者是撥打幺幺零?一般情況下,警察叔叔除了想辦法幫你抓壞人,恐怕也沒辦法幫你恢復文件。因為就在去年的一次網路安全峰會上,連FBI的人都奉勸過大家:公司在感染了勒索軟體之後最好支付贖金來找回重要數據。
然而,如果你的數據備份工作做得好,事情就完全不一樣了。
對資料進行安全備份可以說是我們每個人的一開始就會的經典絕招,大家都知道360雲盤的事情吧,我們很多人就是把有用的資料都上傳到雲端,進行備份,既方便又安全,不過「不要雞蛋放在一個籃子里」這句話顯然適合任何安全的行業,就在前幾個,360雲盤宣布停止服務了,這不小編這兩天只能趕緊把資料下載下來重新備份,不過這次小編我多了個心眼,除了在電腦里存一份外,我又買了個移動硬碟,總之雖然麻煩,但很保險,就像魚和熊掌,我們永遠要在安全性與便捷性之間艱難的做出取捨,而從目前勒索軟體發生的頻率來看,建議大家還是怕麻煩。不過最近聽說實際上靠備份降低軟體勒索的傷害並不是那麼簡單。因為隨著網路惡意軟體的不斷升級,一旦惡意軟體侵入計算機並成功加密所有文件,那麼備份系統及鏡像也將被一同加密,所以建議大家不要沒事的時候就去備份副本,其只需應對緊急情況。
四、使用VPN
也許你會特別高興,現在在一些公共場所也能免費上網了,但上網就會有一些風險,尤其是在公共場合,黑客侵入咖啡館和酒店的WiFi,以此控制未受保護的設備,這種事你應該也聽過吧。不過可能你還沒有對此採取什麼對策。讓上網更安全的一個簡單方法,就是使用VPN,也就是Virtual Private Network(虛擬專用網)。VPN已經多年被媒體報道,不過大多數的網友和手機迷還未使用VPN。根據GlobalWebIndex2015年10月份的調查顯示,全球只有27%的人用過VPN。亞洲及南美的使用率高於美國。如果你是剛開始上網,也可以立即開始使用VPN。下面是一些關於VPN的常見答疑。
我為什麼需要VPN?
簡單點說,VPN就像上網時帶上安全套。當你用VPN的時候,它會創建一個加密的私人通道,你上網時發出的請求會通過這個通道發送出去。你的活動不是通過共享的WiFi網路,而會通過VPN供應商控制的伺服器來改變路徑。這樣的話,你連接網路或者下載程序的時候,那些精通科技的信息偷窺狂們就無法跟蹤你的網路行動了。如果沒有VPN的話,你的信息就任他們抓取;如果你上的網站或者下的程序不支持SSL加密,那麼你點擊或發送的所有東西,黑客都能看到。
我從來不用公共WiFi. 那我還需要VPN嗎?
使用VPN還有其他的好處。通過VPN伺服器(很可能在另一個國家),你的網路會被改變路徑,因此好的VPN可讓翻牆,避開當地的網路限制。至於怎麼翻牆,哈哈,有機會再寫。
我應該用哪種VPN?
如果你的目的僅僅是為了在公共場合上網的時候保護隱私,或者翻牆,基本的VPN就夠了。如果你在某個網路管制很嚴的國家,那你可能需要一款功能更齊全的VPN,比如可以支持OpenVPN或者IPSEC/L2TP安全協議的VPN,不保留連接記錄,有多個退出節點,並且伺服器位於你的國家之外。
那我要是用VPN,我就完全安全了?
也不全是。許多VPN還會用PPTP,一種「已經完全被攻克的」加密協議。使用安全性低的服務 —— 比如基於PPTP技術的VPN,就像把自行車用普通鋼絲鎖,鎖在小偷經常帶著斷線鉗出沒的地方一樣。這保護不了你的自行車,也保護不了你的數據。再就是,別指望VPN能幫你躲過政府的監視,比如NSA可以輕易地看到你在使用VPN(只要看你的數據進出VPN服務就行了)。如果你想逃過國安局或者其他情報機構的監視,那麼最好用Tor。Tor雖然是一個匿名瀏覽器,但也會發生信息泄露和攻擊的事件。
所以基本上來說,不管怎麼著都沒用了是吧?但使用VPN比什麼都不用要安全很多。但是和其他安全保護一樣,VPN並不是完美的。你只能相信你使用的VPN,一旦VPN服務被損壞,你所有的保護措施都會毀於一旦。
總體來說,VPN還是用比不用好。尤其你所在的網路不受信任的時候。不過,你在使用VPN時仍要繼續使用HTTPS和其他安全條款」。真正注重隱私安全的人,會把這些手段疊加使用,建立一個多層安全網,這樣你的數據才更不易受侵犯。
我忠實的建議是,無論如何,下個VPN吧。
五、使用端到端加密聊天工具
目前主流的社交聊天工具都已經實現了端到端加密,大家可以放心。
早在2013年,當Telegram(號稱不會被查水表的通信APP)開始出現在人們的視野當中時,它最大的賣點就是聊天信息十分安全(才用端到端的加密方式)。
那麼什麼是端到端的加密呢?端對端加密通訊方式是讓發出的信息只能被特定的收信人解密,並獲得信息內容,不允許第三方介入。換言之,只有終端持有密鑰,而負責傳遞信息的伺服器僅作為媒介,它本身不能解密信息。
通俗一點說,伺服器只是一個中轉站,沒有秘鑰,不能解密。而秘鑰則是在另一終端用戶的手中,只有另一終端用戶才知道你發了什麼,任何第三方,政府,黑客,犯罪分子,甚至開發人員以及該軟體的後台都無法知道用戶之間到底聊了些什麼內容。
目前,除了Telegram外,2016年4月,Facebook旗下WhatsApp也宣布對所有通訊進行端到端加密,現在,WhatsApp超過10億用戶的所有信息(包括文字、照片、視頻、文件和語音信息)在默認下都會進行端到端加密,包括群聊。
目前,蘋果的iMessage都已經支持了端到端加密。
就像上面提到的,並非所有的採用端對端加密的工具,都能對所有的信息保持百分之百的安全,比如有的端對端加密就是一個選擇項,而有的只對某些內容,比如文字進行加密,不過世界上沒有百分之百的安全設置。比如,蘋果iMessage就存在安全隱患,詳情請查看《iMessage是世界上最安全的即時通訊工具嗎?》,我建議用戶定期更新密鑰。
可是在國內,QQ,微信,陌陌佔據了整個通信市場,這些高級貨我們哪裡有機會享用呢?如果非得,請仔細參考第四條建議。
小編在這裡可以保證,使用好這五條建議,可以讓你的網路安全比以前更上一個新的層次。
如果您還有有什麼更好的辦法,可以私信小編!
※Google+API中的漏洞可導致超5000萬用戶數據泄露
※在Microsoft Edge中實現DOM樹
TAG:嘶吼RoarTalk |