2010年6月12日星期六

个人信息安全(二):网络账户安全



上次和大家扯了下什么是访问控制加密,及其在计算机安全中的应用。这次就说说怎么保护你网络账户的安全。

最重要的一点,就是慎重选择服务商。一方面,如果服务商对安全不够重视,会导致你的账户很容易被入侵。比如最近出现的Facebook漏洞,使得用户个人资料很容易被泄漏。

另一方面,也是更重要的一点,如果你的服务商对用户不够尊重,他会很自觉的将你的信息泄漏给政府部门。比如说大名鼎鼎的雅虎公司,就不止一次的向中国政府泄漏用户资料。微软也不是什么好鸟,虽然我还没有听说过其向中国政府泄漏用户信息的事,但也曾因政治原因关闭过著名媒体人安替的博客。

至于国内的服务商,我就只说一句:完全不可信赖!比如说08年的时候,TOM版的Skype就被发现监控用户的文本聊天信息,而QQ的聊天记录也同样能够被警方轻松获取。而MSN的所有消息则是明文传输,完全没有保护。当然你也不要认为短信之类的消息就是安全的了,运营商最起码会保存半年之久

如果你实在要使用QQ,或者无法选择值得信赖的服务商,要怎么处理?最起码,你可以使用诸如Pidgin或者Empathy第三方客户端,然后安装能够对会话进行加密的插件,比如Pidgin EncryptionOTR,等等。在手机方面,最起码Android上有能够加密短信和语音通话的软件。但敬请注意,只有会话双方同时安装了加密插件,才能对聊天内容进行加密,否则仍然无法保密!但最起码,可以避免类似QQ这样的软件偷窥你的硬盘

其次是要保护好你的密码。密码被盗,帐号被入侵,不仅仅是害得你的所有资料被人窃取,黑客还能由此找出和你频繁联系的同志,然后轻松的"借"用你的网络身份,玩点小花样,来个一网打尽。

因此,第一个要做的事,就是选择一个难以猜测的密码。比如说123456显然就是个不好的密码,去年Hotmail泄漏的1万个密码中就有64个用户使用如此简单的密码。相反,比如说eNr9p1v_z就是个难以猜测的密码。怎么记忆如此复杂的密码?

我是这么做的
首先选择一句你喜欢的话,或者自己造个句子,比如说"我非常重视信息安全"。然后选择每个字或者单词的拼音或者英文或者其他语言的首字母,再把其中一些字母转换成大写、离该字母最近或者最远的数字键或者特殊字符等等,于是这句话就可能成了"iFn/e5a0"。

还有就是不同网站使用不同密码。这样能够避免一个帐号被盗而全军覆没。剑桥大学最近的研究就印证了这一点,大量网站对安全不够重视,导致黑客能够很容易的利用这些被你重复使用的密码。这样还能够防止某些居心不良的服务商把你帐号主动提供给政府然后他们顺便破解你所有的账户。

下一个非常重要的就是,不要让其他任何人知道你的数据备份帐号。不仅是密码不能泄漏,就连用户名也要保密!不要问我为什么,这个要自己好好琢磨;)在你使用这些至关重要的服务时,注意在浏览器上开启隐私浏览,更不能选择记住用户名和密码。

还有一点需要注意的是,你在登录网站时,用户名和密码应该被加密。但不幸的是,有些国内门户网站却并没有做到这一点。比如你登录Sina邮箱的时候,实际上是向login.sina.com.cn/hd/signin.php这个地址发出了一个HTTP POST消息,然后把你的用户名和密码明文传递。有图有真相。
简单的说就是你在向全世界宣布,我的用户名和密码在这里,欢迎大家窃取

还有诸如QQ邮箱,明明提供了TLS/SSL加密,却偏偏要默认使用一个通过JavaScript进行加密的方式来进行"保护"。我在这里打上引号,是因为此类保护并不能对抗中间人攻击,黑客仍然能够通过截获和替换数据包来获取你的登录密码。

GMail则不仅是在登录时,更是在整个会话期间提供了TLS/SSL加密保护,更加安全(关于TLS/SSL加密保护的更多细节,我会在下一篇文章中和大家分享)。

但就算你用了GMail,也不能说是绝对的安全。最起码,你可能面对各种钓鱼邮件,假冒Google给你发邮件,然后骗取你的密码。不要觉得这些攻击离你很遥远,前段时间就有一些维权人士遭受此类攻击。一般来说,服务商是不会向你索取密码的。因此,当你收到类似邮件,基本就能够认定是被钓鱼了。

总而言之,在网上混,凡事都要小心,多个心眼是没错的。还是哪句话,虽然没有绝对的安全可言,但我们能够尽量小心,大大的提高黑客攻击的成本,尽可能的确保安全。



没有评论:

免责声明

1、本人是文盲,以上内容文字均不认识,也看不懂是什么意思(包括但不限于对所以上之内容的识别、阅读、理解、分析、记忆等);

2、本人过去、现在以及将来都不认识本文中提及当事人,且自古以来与该相对人无利益关系;

3、本人昨天、今天以及明天都没有或者不准备去本文所述地点。本文表述之事与本人无关。

4、本人在此发文(包括但不限于汉字、拼音、拉丁字母、斯拉夫字母、日语假名、阿拉伯字母、单词、句子、图片、影像、录音、以及前述之各种任意组合等等)均为随意敲击键盘所出,用于检验本人电脑键盘录入、屏幕显示的机械、光电性能,并不代表本人局部或全部同意、支持或者反对文中观点。如需要详查请直接与键盘发明者及生产厂商法人代表联系;

5、人生有风险,上网需谨慎。本文不暗示、鼓励、支持或映射读者作出生活方式、工作态度、婚姻交友、股票债券买卖、子女教育的积极或消极判断。未成年人请在监护人陪同下阅读本文。无完全民事行为能力者,请立即关闭网页,并用20%高锰酸钾+75%乙醇对键盘、硬盘、电压插座、显示器、鼠标、cpu进行灌溉消毒;

6、如本人留言违反国家有关法律,请网络管理员及时删除本文,本人保留继续发文的权利;

7、因删贴不及时所产生的任何法律(包括宪法、加法、减法、乘法、除法、剑法、拳法、脚法、指法、民法、刑法、书法、公检法、基本法、劳动法、婚姻法、输入法、没办法、国际法、今日说法、吸星大法及文中涉及或可能涉及以及未涉及之法,各地治安管理条例)纠纷或责任本人概不负责;

8、本人谢绝任何跨省(包括但不限于跨国、跨洲、跨星球、跨星系)追捕行为。确因不抓不足以平民愤,或不抓就领不到薪水养家户口的公职人员,建议携带工作证、身份证、结婚证/离婚证、独生子女证、健康证、暂住证、毕业证、边防证、县以上政府机关出具的介绍信温情操作。抓捕按照以下排序倒序:作者、原作者以及网络管理员以及网络运行商、电信运营商、电力供应商、电脑生产销售商;

9、如回复内容导致回复者或第三方、第四方、第N次方怀孕,本人愿配合做亲子鉴定。