|
保护密码的想法并不是一个偏执狂的表现 当我开始写网络安全方面的文章不久,我变成了一个偏执狂,因为这很难让人感觉踏实——在你知道黑客盗取你的个人信息,是如此的轻松以后。这些黑客仿佛时刻在提醒着你,注意安全。 一周内,我设置了唯一的、复杂的密码为我所有的网络应用,开启了两步验证安全,为我的邮件账户。并且,我用胶带盖上了我的电脑的摄像头,这些行为,被我的同事们嗤之以鼻,我被他们奚落了一番,他们都认为我的脑袋出了问题,需要去看医生了。 但是,最近的一些事情证明了我的担心并非多余。我揭掉了我黏在电脑摄像头上的胶带,因为我的朋友说服了我,他告诉我,摄像头在开启之后,会亮起轻轻的绿光,通过这种方式我就能知道,有人在使用我的摄像头。 最近,我收到了一个文本文档,这是我的google邮件两步验证功能发过来的,就是当你登录google邮箱,当你输入密码以后,google会发送给一个字符串,作为登录邮箱的第二步,就像二次密码验证,只有输入这个字符串才能登录邮箱。 但是,问题在于,当时我根本没有登录我的邮箱,甚至,我并不在电脑旁边,无独有偶,许多人都遇到了这种问题。 你的电脑被黑,容易的让这看起来很荒谬,或许你不小心点了一个恶意链接,或许你打开了一个包含病毒木马的压缩包,这都能让你中招。公司的办公电脑每天都被人攻击,破解密码,然后,作恶者会把这些窃取的密码拿到黑市上去交易,一个简单的密码可以卖到20美刀。并且,黑客在不停的更新自己的破解工具,以求更高的效率和功用,比方说,John the ripper,这是一个免费的密码破解工具,它可以使用那些常用的,已经被破解的网站的密码库,来破解密码,效率还非常的高,一秒钟可以测试数百万个密码。 我们不得不说,大部分人都会被黑,在他们生命中的某个时候,最好的防御方法,就是不好轻易点击不明链接,即便是你的朋友发送过来也不例外,重新设置自己的密码。但是,我们却不得不承认,好的密码,如同牙线,非常重要,但是却很费事。你怎么可能记住,这些全不相同,难于破解的密码?你可能拥有社交网络密码、商户密码、银行密码、公司和邮件密码等等,你怎么可能把他们都记住? 为了获取这个答案,我请教了两个非常知名的、偏执的人物,Jeremiah Grossman和Paul Kocher,询问他们是如何保证自己的信息安全的。Grossman是第一个证实,通过浏览器可以非常轻松的控制一个远程摄像头,还有麦克风设备的黑客,他现在是WhiteHat Security安全公司的首席技术官,这是一个网络安全设备的提供商,这里,他经常被那些网络犯罪人员当作目标。Kocher是个知名的破译密码专家,他早先因高明的破解安全系统而知名,现在,他运行着一个密码研究中心,专注与为用户提供防黑、保护系统安全的设备,以下是详细内容: 第一:忘记字典 如果你的密码可以在字典里找到,那么你的密码并不安全。Kocher说,最坏的密码就是字典里的单词,或者对字典里的字词进行插入或者进行其他的小小的改变。黑客往往从字典里选取密码进行破解,或者类似的漏洞,如果你的密码并不在这个范围之内,那么,黑客只能尝试其他的方法, 第二:同一个密码不要使用两次 人们倾向于在多个平台上使用同一个密码,事实上,这给黑客带来了极大的便利。当一个黑客破解了一个用户的linkedin密码,黑客通常都会有规律的使用这个密码,再去破解或者直接使用去登录,该用户的邮箱、银行、经纪人账户等等,更有经济价值的财务和个人数据。 第三:尝试使用分节 密码越长,就越难破解,一个密码至少要有14个字符,或者更多,如果你不想让你的密码被破解的话。但是,问题又来了,密码越长,越难于记忆,我们应该怎么办,我们可以使用分节的办法,比方说,使用自己喜欢的电影里的引用,歌词,或者诗句,或者一些看起来毫无意义的字词组合,而这些字词组合可以来自一些对你来说有意义的句子的首字母等等。 第四:胡乱的按你的键盘 对于非常敏感的账户密码,Grossman说最好不要使用分节的方法,他使用的方法是胡乱的敲击自己的键盘,中间还要轮番的使用shift和alt键来切换,最后,把这个结果复制到一个文本文档里,还要把这个文档,复制到一个加密的、受密码保护的USB存储设备里,这样一来,即便是有人拿枪指着我的脑袋,威胁我说出密码,我也可以诚实的说,我不知道。 第五:把你的密码放在一个安全的地方 不要把你的密码放在桌面上或者我的文档里,如果你的电脑被感染,你的密码就被窃取了,Grossman把他的密码文件放在一个加密的U盘里,他把这些密码文件拷贝进这个U盘,最后,他还要把这个U盘进行长密码加密,这样,他是用密码的时候可以直接复制,而不用键盘输入,即便是你的电脑被记录键盘的木马感染,也不能窃取你的密码。 Kocher更倾向与把自己的密码和互联网隔离开,他喜欢把自己的敏感密码暗示——当然不是表面正确的暗示,写在一张纸上,然后放在自己的钱夹子里,“我总是把我的敏感信息和互联网隔绝”。 第六:拒绝密码管理软件 有些人喜欢密码管理软件,这样自己可以把自己的用户名和密码都放在一个地方,有些密码管理软件还会为你的密码管理设置一个强密码防护,以防备外人登入你的密码管理系统,这些密码管理软件并不少见,在Windows、mac还有手机平台上,都很常见。但是我们建议用户不要使用,Kocher说自己从来不用密码管理软件,即便是这些软件是进行加密的,如果我的电脑被盗窃了,那么我的密码不是就都丢失了么。Grossman说他不信任密码管理软件,因为自己从来不曾参与这种软件的开发,在阿姆斯特丹早些时候,黑客证实,这种常见的密码管理系统是很容易就可以被破解的的,那么这些密码管理软件安全性也就无从谈起了。 第七:忽略密码答案 “你喜欢的颜色”、“你的出生地”这些常见的问题,你一定不会陌生,现在,网上许多网络服务都提供这个密码找回问答,以备你的密码丢失时找回。今年,一个黑客正是通过这个“密码安全答案”破解了罗姆尼的hotmail和dropbox账户,因为罗姆尼把自己的密码设置成了自己的宠物的名字,而又在自己的密码找回答案里填上了自己宠物的名字,而他的hotmail和dropbox密码都是使用这个宠物的名字。如果你必须要填,你可以使用一些毫不相关的答案来回答,比方说,“你的出生地在哪里”你可以填上你喜欢的歌词。 第八:使用多个浏览器 Grossman指点说,你还可以使用不同的浏览器以应对不同的应用,比方说和你可以使用一个浏览器来浏览一些随便的,不安全的网站,比方说,论坛,新闻,博客,或者其他不重要的应用,但是,当你使用网络银行的时候,或者其他很重要的应用,你就可以让这个浏览器歇了,使用那个不常用的浏览器。这样一来,即便是你的非重要浏览器不小心保存了不安全的缓存,你的网络银行也不会因为这个浏览器而遭遇不幸。现在的浏览器非常多,比较有实力的是Mozilla Firefox, Google Chrome还有Microsoft Internet Explorer。 慎重透漏你的邮件地址等,Kocher强调,他说他从来不用自己的真实邮箱来注册网络应用,他都是用那些公开邮箱来注册网络应用,或者那些他早已不用的邮箱,或者你可以申请一个10分钟邮箱,用户注册一个邮箱10分钟以后,这个邮箱自动就注销了。 另外,Grossman说,被黑只是一个必然而又偶然的事情,如果你的信息没有必要,尽量不要放到网络上去。 |
|
|
