安全的用网行为

前面 2 节安全讲的主要是针对架构和开发方面,这节主要针对我们日常生活中应该注意的一些安全注意点。安全并不仅仅是因为软件漏洞导致,很大程度是因为人为因素导致。

1. 简介

黑客一次完整的攻击过程主要会经历下面几个步骤:
安全入侵的步骤

信息收集是整个流程的第一步,也是很重要的一步,因为如果直接收集到泄漏的账号密码,那么下面的几个步骤甚至都可以略过了。如果收集到目标服务器的 IP 地址,就可以用工具扫描,检测该服务器的漏洞等。下面将介绍信息泄露的主要场景和防护。

2. 账号安全

我们每个人的账号都一大堆,有很大一部分人的账号和密码都是一样的,因为没办法平台太多了,如果设置不同很容易忘记也很不方便。

2.1 时效性

要时不时的更改自己重要系统的密码,可以用带有古诗文的信息方便自己记忆。比如,有一部分密码是固定不变的,另一部分动态的每隔 3 个月更换一次,例如用 cqmyg(床前明月光),下一次用 ysdss(疑是地上霜)。

2.2 不要随便注册账号

没有绝对信任的网站不要随便注册,如果不得已的话也不要跟自己的重要账号的密码设置一样。这种网站一方面可能是不法分子故意用来盗取信息的,另一方面不是正规机构的网站安全性比较差,即使网站运营者无意,也可能被人攻破后窃取信息。

2.3 密码复杂度

不要设置太简单或者太常见的密码,不然容易被暴力破解,要有英文,字符,数字的搭配组合。

3. 软件安全

3.1 软件需要从可信任的应用商城下载

无论是手机,还是电脑都不要随意安全不信任的软件,因为很多这种软件即使功能正常使用,但是里面其实被黑客破解修改过,植入了木马病毒之类的程序。

3.2 应用权限

手机软件安全的时候经常会询问是否允许 app 获得某些权限,不是必要的权限不要开启,比如访问手机短信之类敏感行为。

4. 社会工程学

社会工程学主要是利用人性的弱点,套取搜集对黑客有价值的信息。

4.1 主要泄漏信息

  • IP 地址,物理地址
  • 网站后台访问地址,密码信息
  • 家庭成员信息,电话信息
  • 生日(很多人的秘密是生日日期)
  • 公司信息,同事信息

4.2 经典骗取方式

冒充公司领导

  • 打电话
  • 邮件

故意接近

  • 跟你做朋友
  • 美人计
  • 假意请求帮助
  • 假装面试

5. 信息综合搜索

信息的搜集往往不是单一的,是由类似上面列举的很多方式的组合。我们经常听到一个词 人肉搜索,大家都很惊讶网络神人技术太强,其实主要还是因为我们散布在网上的资料信息太多了。这些零碎的资料拼一拼还是能获得很全的信息的。

  1. 搜索引擎随便输入你的名字,或者外加几个关键词
    • 可能查到你在哪所学校,参加了某某活动,获得了某某名次的奖励
    • 你在哪所公司,缴交的一些社保信息
  2. 你在某个网站的评论
    • 根据你的昵称到 QQ 上面搜索,同一个昵称到处用概率还是很大的,如果有手机号那就更加准确了,紧接着可以根据你的 QQ 空间获取更多你私人的信息。(这以前是非常好查的,现在腾讯也一直在完善信息安全这块)
    • 也可能是到其他平台去搜索:微博,头条,人人网,58同城 等
  3. 照片网上搜索相似
    • 百度搜索引擎就有根据图片搜索到功能
  4. 到政府的一些网站,如 信用xx ,上面根据法人名字也能搜索不少有价值的东西。

碎片信息

6. 总结

说到安全防护,大部分人都还是停留在防火、防电、防水的场景,可如今我们手机不离身,吃喝住行全部需要网络,自媒体等资讯爆炸性井喷,所以网络安全更需要引起注重。可以根据上面列举的场景自己排查是否存在类似的问题,及时的撤销网上遗留的不安全信息碎片,并在日常中遵守安全的用网行为。