安全:17件事
一份保护您自己和他人免受最常见且最容易实施的安全犯罪侵害的清单。
我花了很多时间提供信息安全建议,例如为什么RMF(风险管理框架)对于在小型或以研发为重点的组织中实施风险管理实践来说过于繁琐,正确的Apache SSL设置到底是什么,或者静态分析如何帮助改进C代码。然而,我被问得最多的不是这些事情中的任何一件;而是即使是非技术人员也可以做的日常事情,以保护自己免受迫在眉睫但又模糊不清的信息安全事故威胁。
本文并非试图让您成为信息安全大师,或者为那些特殊目标的人提供一切所需。这是一份清单,您可以用来保护您自己、您的爱人以及您不精通技术的亲人免受大多数最常见且最容易实施的犯罪和残忍行为的侵害。它基于我和我的同事 Craig Jackson 在印第安纳大学应用网络安全研究中心定期进行的演讲。我们尽力提供易于访问但又影响深远的步骤。许多好的建议没有列入此清单,要么是因为对于非技术倾向的人来说还不够容易,要么是因为它很昂贵,要么是因为它在我们添加到非计算机书呆子的信息安全负担之前,它的价值还不够高。
1. 锁定您的屏幕锁定您的电脑。锁定您的手机。无论您是离开建筑物还是只是离开一会儿,都要锁定它们。起初,这似乎很烦人,但一旦您习惯了,解锁屏幕就会变得像解锁您的汽车或前门一样自动。同时,如果您不锁定您的设备,任何走到它们面前的人都可以访问您的所有登录帐户,并且可以轻松地冒充您或窃取私人信息。
2. 在任何地方使用全盘加密全盘加密 (FDE) 有点用词不当。对于 Linux 爱好者来说,了解这通常是在分区级别而不是实际物理磁盘上完成的可能会有所帮助。非技术用户需要知道的是:如果您不使用 FDE,任何拿起您的设备的人,即使它已锁定,即使它已关机且无法重新开机,也可以将其存储连接到另一台机器——一台不关心您的隐私的机器——并毫不费力地获得一切。
这不仅仅是 Linux 特有的。现在所有主要的操作系统都提供 FDE。当前版本的 Linux(RHEL、Gentoo、Debian/Ubuntu、Slackware 及其各种衍生版本以及其他一些版本)通过 LUKS(Linux 通用密钥系统)和 dmcrypt 提供 FDE,在大多数情况下,您只需在安装对话框中提供一个强密码即可。Windows 有 Bitlocker,或者如果您预算有限,可以使用 VeraCrypt。(注意:关于 VeraCrypt 安全性与国家行为者之间仍然存在一些悬而未决的问题,但是如果您无法获得 Bitlocker,VeraCrypt 至少足以阻止常见的笔记本电脑窃贼。)
macOS 具有内置加密功能,甚至可以在安装后追溯完成。iOS(iPhone 和 iPad)和 Android(大多数其他智能手机和平板电脑)也都内置了 FDE。
无论您使用什么操作系统,您都必须将您的 FDE 密码短语记录在安全的地方。您无法恢复丢失密码短语的设备。
3. 考虑使用远程设备管理器手机是最常丢失的设备,它们可以携带关于您的惊人数量的信息,更不用说访问银行帐户、在线帐户等等。iOS 和 Android 都提供远程设备管理器,可以分别通过您的 Apple 帐户或 Google Play 帐户打开。尽管这种级别的访问在完全不适合使用 Google 或 Apple 服务的极端情况下可能存在缺点,但通常能够远程定位丢失的设备或在您确定它已丢失时将其擦除是一个巨大的胜利。
4. 进行定期、安全的备份——并测试它们勒索软件正变得越来越流行和有利可图。最好的防御是“我可以从备份中擦除并重新安装;我不需要付款。”不幸的是,太多人根本不保留备份,或者不测试它们以确保它们正常工作,并且任何勒索软件对备份的入侵都会在为时已晚之前被注意到。备份(异地备份加分)还可以保护您免受火灾、溢出、盗窃和存储设备故障的影响。
5. 认真对待软件更新定期应用安全更新,当涉及到报废 (EOL) 软件时,直接拒绝。
当安全漏洞得到修补时,它是公开的,如果尚未在野外被利用,则将在 6-24 小时内的大规模、无目标攻击中看到它。没错:在拥有 IP 地址的随机无名小卒开始受到攻击之前的 6-24 小时。未能及时应用补丁意味着保证坏人有办法进入您的系统。
报废软件是指不再由任何人维护的软件。因此,无论漏洞有多严重,它都不会被修复。直接拒绝。
6. 隔离用户帐户除非您确实需要该级别的权限来执行管理任务,否则永远不要以 root 用户或等效用户身份登录。
理想情况下,您的孩子及其企鹅的糟糕的 Flash 游戏不会与您的纳税申报表在同一设备上,但如果它们必须在同一设备上,请给他们自己的用户帐户以尽可能多地创建隔离。操作系统试图阻止用户影响彼此的数据和设置,因此请利用此保护。您可能信任您的配偶,但您信任他或她运行和打开的每个应用程序和文档吗?
如果可能的话,请将完全独立的设备用于敏感的东西和不太可能受到安全角度审查的东西。我有一台工作笔记本电脑和一台个人笔记本电脑。我的游戏电脑不仅是完全不同的第三台机器,而且它还位于家中的完全独立的子网上,在那里它无法与我关心的任何东西通信。
7. 监控您的财务和敏感帐户如果您在六个月后才注意到盗窃行为,那么您与在 30 天内注意到盗窃行为的情况截然不同。检查您的银行和信用卡对帐单。确保您没有看到任何无法识别的交易。在可能的情况下设置自动警报。
8. 使用您的信用卡至少在美国这里,信用卡和借记卡的监管方式截然不同。如果您的信用卡是盗窃或欺诈的对象,您的责任上限为 50 美元。这是您损失最多的;银行、支付处理商和零售商可以就剩余部分争论不休。如果您发现自己处于借记卡的这种境地,通常取决于您的银行以及您与之签订的任何特定的书面合同。在许多情况下,您最终可能会为发生的任何欺诈性支出负责。
9. 冻结您的信用这是另一个以美国为中心的建议。在所有三个信用机构冻结您的信用将大大减少您遭受身份盗窃或税务申报表被盗的风险,或者承担他人不良债务的风险。为什么要让诈骗者更容易得手?当您准备贷款或信用额度时,您可以使用在冻结时收到的代码根据需要解冻。对于未成年人和儿童来说,这样做尤其重要,因为他们是身份盗窃的诱人目标。
10. 安全地存储您的密码您只能记住有限数量的密码,并且密码越复杂,您能记住的密码就越少。LastPass 和 Password Safe 是密码管理器的不错选择,但其他密码管理器也值得考虑。关键是确保您不受您可以轻松记住的密码的数量和质量的限制,并保持理智。
对于无法进入密码管理器工作流程的非技术人员来说,将所有密码都记录在一个小笔记本中,并将其保存在合理安全的位置(例如家用保险箱或锁箱)仍然比将密码以纯文本文件或 Google 文档形式存储在计算机上更安全,并且也比一遍又一遍地重复使用相同的密码更安全。
11. 使用唯一的密码既然您正在安全地存储密码,您就永远不应该重复使用密码。如果您使用的某项服务丢失了其密码数据库,您不希望这泄露您在您使用的其他服务上的密码。这是一个非常常见的模式。
12. 使用强大、难以猜测的密码和密码短语您闪亮的新密码管理器可能会为您生成这些密码。一个强密码或密码短语将至少有 24 个字符,混合大小写字母,并带有一些数字和符号。如果您的密码看起来像这样,那将几乎不可能记住,但您的密码管理器会为您输入它
gaegie7o@oth8Aic8xeigei5%eozieF7
因此,如果出于某种原因您必须记住(例如,对于您计算机的 FDE),请使用密码短语,如下所示
14cute Canaries are nevertheLess LOUD*-64
只是一个想法:如果您实际使用杂志上的密码或密码短语示例,我对任何被盗的东西概不负责。
您的目标是抵抗人类猜测。考虑到大多数人类猜测是由足够了解您的人完成的,他们至少认真地浏览过您的社交媒体生活,即使没有见过您并亲自了解您——并且还要确保计算机化猜测足够慢,以便在您的帐户被盗用之前很可能注意到攻击。
13. 使用双因素身份验证双因素身份验证 (2FA),有时称为多因素身份验证 (MFA),是对抗帐户泄露的最简单、最强大的武器,因为它大大提高了攻击者必须完成的事情的复杂性。如果没有 2FA,如果您的计算机感染了键盘记录恶意软件,如果有人在咖啡店偷看您的肩膀并看到您的密码,如果您丢失了密码笔记本,或者密码数据库从某处的卡车上掉下来,您的帐户就完了。它被盗用了。故事结束。
但是,通过双因素身份验证,这些事情中的任何一件都无法单独泄露帐户。双因素身份验证使用两个不相关的事物——通常是您知道的东西(例如密码)和您拥有的东西(例如手机或硬件令牌)——来登录帐户。使窃取您的密码变得容易的攻击类型(例如您计算机上的病毒或服务器上的入侵)与使窃取您的第二因素变得容易的攻击类型(例如扒窃您的手机或钥匙)不是同一种攻击。
我首选的 2FA 形式是使用简单的 FIDO U2F 设备,例如 Yubikey 4,将其放在您的钥匙环上,以便在您登录时弹出到手机或计算机中。没有您的帐户密码,这个特殊的密钥就没用,没有密钥,您的帐户密码也没用。密钥内部有一个秘密加密密钥。当它插入 USB 端口时,端口为其供电,并且它可以发送响应而无需泄露您的秘密密钥。即使您的计算机有病毒,您插入此密钥,该密钥仍然可以保护您。很难出错。它就像一把房门钥匙;如果它还在您的钥匙环上,您可能就没事了。(请注意,如果您使用 Yubikey 的简单密码功能而不是其 FIDO 或其他基于私钥的功能,恶意软件仍然可以观察到密钥输入的密码。)
如果您不能这样做,请尝试 TOTP(基于时间的一次性密码),例如在智能手机上运行的 Google Authenticator 或 FreeOTP,它会在您想要登录时为您生成临时密码。SMS 双因素非常糟糕,因为在许多情况下,SMS 消息很容易被观察到。生物识别技术也很糟糕,因为您到处都留下指纹!即使是虹膜扫描也很可怕;当一家公司丢失其密码数据库时,谁会给您一只新的眼睛?别去那里。
14. 变得能够抵御诈骗大多数漏洞始于人类做了他们不应该做的事情。我们在黑客中称之为“社会工程”的东西与任何其他时代的任何老骗子所做的相同:试图看起来合法并要求,或者让人们在恐惧或心不在焉的情况下匆忙采取行动,而他们没有意识到自己正在放弃有价值的东西。
翻垃圾箱是一项历史悠久的传统。当您不再需要文件时,请将其粉碎或焚烧,并销毁硬盘或其他数字存储设备。除非您确定自己为什么要这样做、这样做是必要的以及您要将其交给您信任的人,否则不要泄露您的个人信息。当您阅读电子邮件时,想象一个陌生人在大城市走过来对您说同样的话。这是您应该信任的东西吗?如果陌生人在街上对您说您刚刚中奖,您会给他们您的财务信息吗?我希望不会,但人们每天都会对恶意电子邮件和网站这样做。
永远不要泄露您的任何密码。您登录的任何系统都有系统管理员,如果出现问题,他们可以访问您的数据或重置您的密码。不要相信向您索要密码的“支持”人员。
15. 将电子邮件视为明信片假设电子邮件的各方并非都在使用端到端加密,至少发件人和收件人的电子邮件服务器可以读取您的电子邮件,拥有和维护它们的人也可以读取。在典型情况下,中间的许多互联网航点也可以读取它,并且您无法控制哪些航点看到您的邮件。
即使电子邮件已加密,它也像一封密封的信件:任何人仍然可以看到信封的外部,包括收发件人信息、大小和邮戳日期。
您会冒着在明信片上将密码、信用卡号、社会安全号码或其他敏感信息发送到街上不安全的(未锁定的)邮箱的风险吗?我不这么认为。明信片是公开的,任何人都可以阅读,而且您真的不知道它在到达目的地途中会经过多少人之手。电子邮件也是如此。
16. 警惕物联网的蔓延每天都有更多酷炫的玩具连接到网络:牙刷、玩偶、体重秤、恒温器、厨房电器等等。然而,它们中很少有在设计的任何阶段接受安全检查,甚至更少的在其整个生命周期内接收更新。在最好的情况下,它们会泄露关于您的数据:您的房子何时是空的、您的孩子在做什么、您的健康状况等等。这些不安全的设备常常很容易被闯入,并使入侵者可以轻松访问您家中的其他一切,从安全摄像头到冰箱。
这并不意味着永远不允许网络连接的设备进入您的家;只是在您这样做之前先考虑一下。问问自己,这真的需要您的 WiFi 密码吗?询问谁在维护它以及在您购买后维护多长时间。询问它有什么样的数据,并问问自己,如果这些数据泄露出去,最坏的情况是什么。想想您的网络上还有什么设备与该设备连接。
17. 帮助您所爱的人保护自己如果您正在阅读Linux Journal,那么您很可能对一般技术有所了解,即使不是特别了解安全技术。您可能在生活中有些人不了解。世界上所有的监管和正规教育都无法与一个关心您的人说“来,让我帮忙。我希望您安全”相提并论。
请记住,“网络保姆”很容易被规避,并且不会在您的孩子看到的每台计算设备上都到位。孩子们在耐心成人的指导下学会保护自己,而且幼儿通常比青少年更容易接受。如果您从小就教您的孩子保护自己,您可以避免以后的一些争吵,并且更有可能成功。我的儿子在四岁时学会了 plonk(忽略)互联网上粗鲁或mean的人。他过去常常大声喊“PLONK!”当他这样做时。作为一个青少年,他仍然通过忽略而不是参与来回应毒性,而没有真正考虑过它。这就是在他们小时候教他们的好处。
老年人通常比孩子面临更大的风险,因为他们在处理技术时有更大的学习曲线。花时间帮助他们选择您可以轻松帮助他们使用的东西,并帮助他们安全地使用这些东西。
要有具体的目标;“安全”对于要求任何人来说都太模糊了。这份包含 17 件事的清单,特别是如果您一次完成一两件事,应该是任何人都可以掌握的。这不是一个人可能做的一切,但这是一个合理的起点。成为让您所爱的人开始的人。
关于作者Susan Sons 是一位来自印第安纳州布卢明顿的信息安全专业人士,热衷于保护边缘案例技术和环境的安全。作为印第安纳大学应用网络安全研究中心 (CACR) 的首席安全分析师,Susan 与她的团队合作,为 NSF 科学、私营部门和其他机构保护快速变化的研发环境。作为互联网土木工程研究所 (ICEI) 的总裁兼首席黑客,Susan 将精力集中在构建下一代互联网基础设施软件维护人员和拯救经常被忽视的基础设施软件上。
