网络时代,一要保管好你的钥匙,二是别再裸奔了
网络有你不知道的险恶,此篇实用技能,让你至少不再网络里”裸奔“。...
(2016年第 67 条消息)
(订阅和活动内容移步“关于”->“活动公示”)
0
我是一名系统管理和安全维护工程师,今天第一次亲眼见到一起黑客攻击。
黑客通过公网地址扫描,发现一个Web安全漏洞,从而进入服务器,直接绕过防火墙,最杯具的是,Web服务器由于某种需求,被一个开发的菜鸟直接映射进入内部网络,Web开发服务器和菜鸟开发的主机使用SSH-KEY相连,此KEY又由于菜鸟开发为了图方便,直接接入了内部网络的中央控制机。
通过上面的描述,不需要你是一位搞网络安全的专业人才,即使一个懂那么一丢丢网络相关的学识人,就都会知道这是一个多么重大的安全事故。
我/老大和一组的工程师忙活一整天,进行攻击受损评估,好在此黑客并不是骨灰级,如果不是内部各个系统被加固层层防火墙,需要时间进行渗透攻击,不然,一个部门的安全人员都要卷铺盖走人鸟,我也不例外。
1
一个大的互联网公司,有可能就因为一个微小的漏洞,和一个菜鸟开发人员的疏忽,造成几千万的损失。如果是一家上市公司,那第二天肯定股价腰斩;如果是一家中型企业,那有可能就会倒闭;如果是一家创业公司,那用户就会瞬间流失,投资人也会撤资。
不是亲眼见到,你无法知道网络世界暗藏的种种杀机,危机四伏。
故今天谈一谈和每个人都息息相关的一件事情,那就是:
网络时代的个人信息安全。
好多人可能会说,什么是信息安全?
举个栗子:
21世纪什么最贵?—— 信息最贵。你的QQ空间里面,是不是经常看到朋友发言 “q号已被盗,大家都不要相信我发的任何留言” ;
某程酒店被爆库,造成千万账户信息泄露;
某易邮箱账号被撞库,造成千万个人邮箱泄露;
... ...
普通人每天上上网,看看剧,刷刷朋友圈,瞧一瞧微博,你可知道网络世界的险恶吗?
这才只是冰山一角,隐私数据的黑色产业链是你想像不到的一片黑暗大陆。
信息安全有多重要,我说了可能没有什么影响力,那就来一起欣赏一下这个世界上两位权利最大的两位大佬是怎么看待信息安全这个事情的。
2
信息安全和我有什么关系?
好多人会说,经常看到新闻说各种账号泄露,而我也并没有什么事情吗?
的确,即使数千万级别的信息账号泄露,但是对比全球近30亿网民来说,还是相对很少。
但是,那么多次账号泄露事件,并没有对我造成什么财产损失吗?
请记住,这完全是因为你的 “人品好”,你简直太幸运了。
然而那些不幸之人就杯具了,有的银行卡被转账,有的信用卡被盗刷,有的在QQ上向你的朋友借钱 。。。
一旦账号信息泄露,你邮箱里面注册的每一家互联网服务都会被黑客知道,你有哪些联系人,你上过什么网站,在某宝上买过哪些东西,那种场景就像是一块身体上的一块遮羞布被扯下来,让你暴露在大街上。
3
如何保护自己的信息安全?
下面所讲,我不会从一个搞系统安全运维的专业人员角度去讲深刻的大道理,当然我自己本人也再不断学习,不敢轻易说自己的水平高到哪里,但是这些都是我从亲身经历,和实践中总结的一些非常简单的安全知识,请务必要记住,并在自己在上网和生活中,运用起来。
这些安全要点,并不神秘,也不高深,但是你只要能够做到80%,那么自己的隐私和信息安全就会有很大的保障,即使受到黑客攻击,那么黑客的成本就会成指数级别提高。
要记住一句话:不怕一万,就怕万一。
4
保障个人数据隐私和信息安全 要点:
一 密码安全
1 长度要够
在密码复杂度和长度两个中间选择,我从一个安全工程师的角度来看,一定推荐密码长度要够,长度一定要大于 12 位,理论上一台普通计算破解它需要至少3个月,我想没有哪个傻逼黑客想去花这么长的时间吧。
当然,你要记住,我并不是让你输入 “888888888888888” 这么个东西,而是像 “jdeoru3wjfejgffjsldjfw” 这样的,擦键盘随机出现的。
2 不要使用下面的任何一个类型的密码
生日,你自己的或者你女朋友的也不行;
123456和password,是最新美国SplashData公布的最容易被黑客攻击的密码前两名;
任何英文单词;
键盘上规则排列的按键,例如:qweasd ......
3 使用特殊字符
很多人不喜欢用特殊字符,因为在打的时候,需要按一次 SHIFT 键,很多人嫌麻烦图省事。
但如果一个超过12位的密码长度,其中混合了特殊字符,黑客破解的时间将呈现指数级增长,什么概念,看下面的图吧。
推荐:12!3@45#6
不推荐:123456!@#
4 定期更换密码(不推荐)
如果你按照我上面3点说的去做,那么就不需要这第4点了。
说实话,做不好上面3点,这点没神马用处,然并卵。
二 防止撞库
这一条其实也是关于密码安全的,为什么我会拿出来单独谈,就是因为现在大家都把自己所有的密码都设成一个,一个,一个。
一个密码走天下,这个太可怕了。
为什么?
因为网络黑客有完整的地下黑色产业链,每一家提供互联网服务的公司,都不可能保障说信息的绝对安全,如果有人,或者有哪家公司说,我这里信息绝对安全,你可以直接打脸,或者开骂也行,因为他非骗即盗。
一般情况下,普通人的日常生活中,都有至少10多种互联网服务,看一看你的手机上面的APP有多少吧。
而不同厂家的系统安全和防护级别,有高有低,开发人员的水平也参差不齐,所有每当有厂家的数据库被盗之后,普通人的账号在这个被黑掉的厂家里面,可能没有多大经济价值,但是,一旦拿到你的信息之后,在黑市流通的数据,都会被积累下来,二手的数据买家会根据被黑注册数据,在其他互联网服务上进行尝试登陆,这就是所谓的 “撞库”。
一旦你一个密码走天下,那么后果不堪设想。
防止撞库 —— 实用技能:
1 绝对不要一个密码走天下,这个真想打三遍来强调;
2 遵循上面 “密码安全” 的规则使用密码;
3 根据互联网服务分级别设置密码难度
像支付宝,手机银行这样的金融服务,密码一定要超过12位以上;
普通的论坛,新闻网站,一定不要设置和金融服务一样的密码,且这部分的密码难度可以稍微降一点,方便平时使用。
三 WIFI
给大家讲个段子:
甲:以前经常听人说,手机丢了,现在很少听说了呢。
乙:可不是嘛,现在的人把人丢了,手里都至少还有个手机,晚上都是抱着手机睡觉的。
移动互联网时代,人人离不开手机,我们需要手机上网,但运营商的流量也还太贵,那么WIFI就成为首选。
但是WIFI是对个人信息安全威胁最大的,因为不是人人都懂得信息安全的常识,192.168.1.1/admin/admin 这样的随机出厂账号还大量普遍存在在中国千千万万个小区的家庭里面;因为省钱,一个家庭WIFI路由器用个5-6年都很常见,殊不知老旧设备不更新换代,之前的系统漏洞无法得到修复,从而很容易造成数据泄露。
WIFI 使用要点:
1 连接WIFI时候,查看加密信息版本,WEP小于等于2的,一律不要使用;
2 登陆路由器后台,关闭 SSID 广播,不主动传递wifi的信息出去;
3 公共 wifi 一律不要使用,特别是一些小餐馆,咖啡厅,因为开餐厅的那些人,可以说99%都不懂什么是信息安全,更别说管理好自己的wifi了,这些普通人的心态是 “能用就行”。
4 只要涉及到和钱相关的APP,比如:微信支付,JD支付,支付宝,一定要先关闭wifi,打开运营商流量,然后在打开APP;
5 平时上网,涉及到支付相关的信息,打开Web页面后,养成扫一眼地址栏的链接是否是 HTTPS , 如果不是请立马断开,关闭浏览器,然后过2分钟重新打开浏览器,在高级设置》网络中,勾选 Cookie,清除所有历史数据;
四 高级篇
本来想谈一谈高阶些的东西,发现本篇已然变成了长文,而长文现代的人又不愿意看,只好放弃继续谈了。
不过还是要提一点,使用Windows的朋友们,请打开你的windows防火墙,不要为了图省事就选择关闭,只是windows防火墙把级别调到最高,你的电脑即使中了木马,还可以向你弹个框告诉你什么东西像访问远程服务。
当然,对于操作系统这个事情,从一个技术人员的角度,我还是鼓励大家多接触Linux操作系统,因为现在Ubuntu,Fedora,Arch 这些图形桌面已经非常好用且美观,就像我的工作站一样,而且最重要的是,安全性非常高,
后记:
不入江湖,不知江湖险恶;
不被黑掉,不知网络世界多么可怕;
黑客地下产业链,第一环,由黑客进行网络渗透攻击,拿到数据后,倒卖给产业链外围的“游散经纪人”,这些 “游散经纪人” 经过筛选评估出有进一步价值的隐私数据, 再通过 “网络中间人” 进行数据二次倒卖,倒卖给产业链一级代理商,一般经过至少3层代理商,进入产业链“黑色交易”,地下组织进行有针对性的威胁,诈骗,
朋友们,如果你有幸读完此篇文章,那么说明你是一个关心自己隐私和信息安全的人,那么希望文章提到的一些实用技能,能够为你 “穿山一身铠甲”,在互联网的世界里,不至于 “裸奔”。
最后提及一句:世界上没有绝对安全的系统。
完~~
关注公众号“diwen的学习”(ID:diwen-xuexi)或长按二维码,一个中二青年的学习总结、见闻思考、成长记录史,搬过砖打过工创过业,仍在奋斗折腾中。和大家一起成长,死磕到底。
公号内容丰富,包含又不限于:创业、互联网、IT/软件技术、理财、读书音乐、轶闻故事、反常识思维,“中二不中立”。
关注 diwen的学习
微信扫一扫关注公众号
