cyycoish 发表于 2017-4-23 22:54:02

【再谈个人信息安全】

2016年暑假,发生了一件很不愉快的事情。有一位徐姓的高中毕业准大学生,被骗了将近一万元学费后,因为过于气愤导致心脏骤停而死亡。
很快,“相关部门”经查证,发现了教育部门的数据库被植入了木马,从而导致学生信息泄漏。继而,“有关部门”抓获了“犯罪嫌疑人”。
整件事情以一个年轻的生命逝去和犯罪分子被绳之以法而告终。个人信息安全也随之被国人提上议事日程。
痛定思痛,准大学生猝死事件给了我们多方面的深刻而严肃的教训。其中最为凸显的应该是:个人信息安全不再是儿戏。

那么,作为一个技术宅和计算机软件相关从业人员的我将告诉大家,在日常生活使用计算机与互联网的过程中应该注意哪些问题。
一、密码设置修改方面:
1.禁止使用用户名或者用户名的部分作为密码。如果用户名叫做 lonelyhacker,不要将密码设置成如下形式:lonelyhacker elyhac……
2.不要把密码设置得过于简单。不管是网络账号密码或者是开机密码,都不要设置成简单的单词或者拼音,以防止字典攻击和暴力破解行为。比如 apple pingguo psword abc123 admin456 都是不行的。
安全性较高的密码应该是大小写字母、数字、与符号的随机组合。而且密码必须超过一定长度。8~16个为宜。比如 _!=Fd17a*L9 就是一个比较安全的密码。(ps:别拿_!=Fd17a*L9作为你任何账号的密码了.)
3.不要使用已有的单词/拼音、键盘顺序的字母组合,自己或者他人的生日、结婚纪念日、特殊节假日作为密码。比如 zheshimima noBODYknows 19870305 879305 iloveabc qwerty ~!@#$%^& 13803062987 都是不行的。这一条除了防止字典攻击外还防止了社会工程学攻击。黑客可以通过你某一网站的账号名称获取你其他网站相关账号的信息从而锁定你的某一部分个人信息来破解你某一账户的密码——这一行为就属于社会工程学攻击的范畴。
4.绝对不要把两个账号的密码设置成同样的。比如我QQ密码是 01+7a&YG& 我在设置微信密码时绝对不要设置成 01+7a&YG& 。这一条是为了防止爆库。所谓爆库并不是行业术语,它指的是黑客不直接攻击获取你在A网站的密码,而使用一些手段找来B网站的大部分用户名和密码明文的数据库。如果你在B网站也注册有账号,而你喜欢把很多网站账号的密码设成一样。此时就麻烦了。
5.清楚了解账号提供方的各项密保机制。各个网站或者其他账号提供方的密保机制各不相同,其中常见的有:将军令,U盾等硬件密钥、密保问题、密保邮箱/手机号码、可信任设备、密码重置码、动态密码APP。清楚了解各项密保机制不仅可以方便的找回自己丢失的账号还可以有效预防社会工程学攻击。
当然,大量不同的随机密码带来了管理问题。我的建议是,将密码集中起来统一管理,比如加以分类然后记录成册。而且绝对不要将密码以明文形式保留在有任何机会连接局域网/国际互联网计算机当中。谨慎选择可靠的密码管理软件也是一个办法。
二、用户权限设定及系统和应用程序使用方面:
1.如果有可能,尽量不要使用管理员账户登录、修改系统、授权其他应用程序。账户的权限设置是一个很重要的问题。大多数情况下日常操作计算机时不要使用管理员权限。有必要时合适的操作使用权限尽量低的账户。这一项尤其重要。不要使用Linux具有root权限的账户。开启Windows的UAC用户账户控制。不要使用Windows的管理员账户做浏览网页处理工作单位文档等日常事宜。如果有的话,开启系统完整性校验功能。
2.尽量不要使用自己的真名注册系统用户名,并且有意识地保护注册的用户名不被泄漏。个人信息是在不经意间泄露的。比如下图中某P2P文件同步软件中,大量用户选择了以自己真实姓名的方式作为计算机用户账户的名称。这往往是遭受社会工程学攻击的开端。

灰黑色方框内是没有用户名的IP地址或者随机生成的计算机名,这样比较安全。
黄色方框内是以网名或者昵称作为计算机用户名的使用者,这样安全性降低。
土黄色方框内是以自己真实姓名的拼音作为计算机名的使用者,安全意识更低。
橘红色方框内的用户直接用姓名作为用户名,安全意识薄弱。
3.不要在公用电脑上保存自己的密码及其他个人信息。任何时候即使你认为删除了自己留下的信息,但是还是有机会被别人获取到你的个人信息。所以不要在公用电脑上保存自己的密码及其他个人信息。这不是随便说说的。
4.不要在日常使用环境中运行可疑的程序。如果你用一台电脑上网,聊天,打游戏。那么就不要在那台电脑上运行除了通讯软件,游戏程序以外的程序。对于软件开发人员,不要把开发环境和测试环境混起来。也不要把工作环境和娱乐环境混起来。
5.有密码设置但是可以不设置时尽量不要不设置密码。哪怕设置简单的密码也比不设置密码,或者把密码设置为空强。不要贪图省事。安全出自警惕,事故来自麻痹。
6.谨慎选择反病毒程序。不要使用具有永久免费许可证的杀毒软件或者计算机安全软件。永远记住:天下没有免费的午餐。使用某些永久免费的杀毒软件,不仅不能起到预防病毒的作用,反而是适得其反引狼入室。

信息安全这是一个庞大、广泛。最容易被疏忽,而又最不能被轻视的问题。信息安全不仅仅应该“再谈”,而且要“时时谈”。因为这本是一个需要三令五申的问题。数据是无价的。信息安全一旦出了问题,通常产生难以挽回的损失。总而言之,对待所有涉及信息安全的事情原则是:少偷懒,勤动手,多动脑。最后借用一句我国谚语:害人之心不可有,防人之心不可无。

黑魔法师Rabbit 发表于 2017-4-24 12:36:13

本帖最后由 黑魔法师Rabbit 于 2017-4-24 13:05 编辑

补充点有趣的:并不是说免费的安全软件就一定劣质(比如之前3x0播报出的“双面间谍”,这种恶意程序利用杀软来破坏系统,但是3x0自己早在几年前就免疫了这种攻击),而是说这类安全软件不可能像付费安全方案有保障而已。

比如诺顿在购买前就说明了:如果你的计算机被恶意软件入侵,而它的软件没办法移除掉,那么诺顿会直接派技术工程师远程帮你移除恶意软件,然后全额退款。

而科莫多(Comodo)更强大:如果他们的付费安全软件无法移除你电脑上的恶意程序,那么Comodo不止会退款,还会反过来补偿(最高补偿你500美金,视受损程度而定)。

拿3x0做反例,虽然它的客服已经非常好了(我想起了之前的一件事:一名金山用户感染病毒,最后去3x0论坛找人帮忙。而3x0客服在两小时之内就帮他解决问题)。但是它并没有像诺顿和Comodo那样的保障,等于还是人家不管你死活。

资料:(双面间谍)http://bbs.360.cn/thread-14900176-1-1.html

最后帮各位科普下免费安全软件是怎么盈利的(以下内容来自Comodo中国区官网):

贵公司的网络安全套装做得比许多收费的还要好,却是免费的,那贵公司的盈利点在哪?
答:这个问题非常好!请记住两点:第一,不是所有免费防火墙和免费杀毒软件都可以信赖的,现在黑客也在提供免费防火墙和免费杀毒软件,所以,在试用所有免费防火墙和免费杀毒软件之前,一定要看看此软件是否通过专业第三方检测、是否获过奖、在网上口碑如何等等,请查看 matousec 对全球流行的防火墙和杀毒软件的性能排名;第二,Comodo作为全球领先的数字证书颁发机构,超过20万个企业用户正在使用Comodo 的安全产品,我们充分认识到数字证书不能解决所有安全问题,所以,我们要为您提供免费的桌面安全软件来从桌面电脑开始为您提供安全,形成一个完整的从桌面终端到服务器端的全程安全解决方案。免费防火墙和免费杀毒软件只是我们的整个安全产品链中一小部分,我们的盈利点不在用户桌面端,而是在后面的服务器端。


(补充:国内的3x0赢利点是企业级和智能硬件、金山是企业级和其他业务,比如wps会员、瑞星是吃政府和自己的企业级安全业务、火绒是用所谓的“火绒推广”挣广告费和流量钱)

雪花飘飘 发表于 2017-5-20 09:51:58

学习了,涨知识。
页: [1]
查看完整版本: 【再谈个人信息安全】