安全的用网行为
前面 2 节安全讲的主要是针对架构和开发方面,这节主要针对我们日常生活中应该注意的一些安全注意点。安全并不仅仅是因为软件漏洞导致,很大程度是因为人为因素导致。
1. 简介
黑客一次完整的攻击过程主要会经历下面几个步骤:
信息收集是整个流程的第一步,也是很重要的一步,因为如果直接收集到泄漏的账号密码,那么下面的几个步骤甚至都可以略过了。如果收集到目标服务器的 IP 地址,就可以用工具扫描,检测该服务器的漏洞等。下面将介绍信息泄露的主要场景和防护。
2. 账号安全
我们每个人的账号都一大堆,有很大一部分人的账号和密码都是一样的,因为没办法平台太多了,如果设置不同很容易忘记也很不方便。
2.1 时效性
要时不时的更改自己重要系统的密码,可以用带有古诗文的信息方便自己记忆。比如,有一部分密码是固定不变的,另一部分动态的每隔 3 个月更换一次,例如用 cqmyg
(床前明月光),下一次用 ysdss
(疑是地上霜)。
2.2 不要随便注册账号
没有绝对信任的网站不要随便注册,如果不得已的话也不要跟自己的重要账号的密码设置一样。这种网站一方面可能是不法分子故意用来盗取信息的,另一方面不是正规机构的网站安全性比较差,即使网站运营者无意,也可能被人攻破后窃取信息。
2.3 密码复杂度
不要设置太简单或者太常见的密码,不然容易被暴力破解,要有英文,字符,数字的搭配组合。
3. 软件安全
3.1 软件需要从可信任的应用商城下载
无论是手机,还是电脑都不要随意安全不信任的软件,因为很多这种软件即使功能正常使用,但是里面其实被黑客破解修改过,植入了木马病毒之类的程序。
3.2 应用权限
手机软件安全的时候经常会询问是否允许 app 获得某些权限,不是必要的权限不要开启,比如访问手机短信之类敏感行为。
4. 社会工程学
社会工程学主要是利用人性的弱点,套取搜集对黑客有价值的信息。
4.1 主要泄漏信息
- IP 地址,物理地址
- 网站后台访问地址,密码信息
- 家庭成员信息,电话信息
- 生日(很多人的秘密是生日日期)
- 公司信息,同事信息
4.2 经典骗取方式
冒充公司领导
- 打电话
- 邮件
故意接近
- 跟你做朋友
- 美人计
- 假意请求帮助
- 假装面试
5. 信息综合搜索
信息的搜集往往不是单一的,是由类似上面列举的很多方式的组合。我们经常听到一个词 人肉搜索
,大家都很惊讶网络神人技术太强,其实主要还是因为我们散布在网上的资料信息太多了。这些零碎的资料拼一拼还是能获得很全的信息的。
- 搜索引擎随便输入你的名字,或者外加几个关键词
- 可能查到你在哪所学校,参加了某某活动,获得了某某名次的奖励
- 你在哪所公司,缴交的一些社保信息
- 你在某个网站的评论
- 根据你的昵称到 QQ 上面搜索,同一个昵称到处用概率还是很大的,如果有手机号那就更加准确了,紧接着可以根据你的 QQ 空间获取更多你私人的信息。(这以前是非常好查的,现在腾讯也一直在完善信息安全这块)
- 也可能是到其他平台去搜索:微博,头条,人人网,58同城 等
- 照片网上搜索相似
- 百度搜索引擎就有根据图片搜索到功能
- 到政府的一些网站,如 信用xx ,上面根据法人名字也能搜索不少有价值的东西。
6. 总结
说到安全防护,大部分人都还是停留在防火、防电、防水的场景,可如今我们手机不离身,吃喝住行全部需要网络,自媒体等资讯爆炸性井喷,所以网络安全更需要引起注重。可以根据上面列举的场景自己排查是否存在类似的问题,及时的撤销网上遗留的不安全信息碎片,并在日常中遵守安全的用网行为。