作者:Xizhi Zhu 来源:http://xizhizhu.blogspot.com/2010/06/blog-post_08.html
个人信息安全(二):网络账户安全
上次和大家扯了下什么是访问控制和加密,及其在计算机安全中的应用。这次就说说怎么保护你网络账户的安全。
最重要的一点,就是慎重选择服务商。一方面,如果服务商对安全不够重视,会导致你的账户很容易被入侵。比如最近出现的Facebook漏洞,使得用户个人资料很容易被泄漏。
另一方面,也是更重要的一点,如果你的服务商对用户不够尊重,他会很自觉的将你的信息泄漏给政府部门。比如说大名鼎鼎的雅虎公司,就不止一次的向中国政府泄漏用户资料。微软也不是什么好鸟,虽然我还没有听说过其向中国政府泄漏用户信息的事,但也曾因政治原因关闭过著名媒体人安替的博客。
至于国内的服务商,我就只说一句:完全不可信赖!比如说08年的时候,TOM版的Skype就被发现监控用户的文本聊天信息,而QQ的聊天记录也同样能够被警方轻松获取。而MSN的所有消息则是明文传输,完全没有保护。当然你也不要认为短信之类的消息就是安全的了,运营商最起码会保存半年之久。
如果你实在要使用QQ,或者无法选择值得信赖的服务商,要怎么处理?最起码,你可以使用诸如Pidgin或者Empathy等第三方客户端,然后安装能够对会话进行加密的插件,比如Pidgin Encryption、OTR,等等。在手机方面,最起码Android上有能够加密短信和语音通话的软件。但敬请注意,只有会话双方同时安装了加密插件,才能对聊天内容进行加密,否则仍然无法保密!但最起码,可以避免类似QQ这样的软件偷窥你的硬盘。
其次是要保护好你的密码。密码被盗,帐号被入侵,不仅仅是害得你的所有资料被人窃取,黑客还能由此找出和你频繁联系的同志,然后轻松的”借”用你的网络身份,玩点小花样,来个一网打尽。
因此,第一个要做的事,就是选择一个难以猜测的密码。比如说123456显然就是个不好的密码,去年Hotmail泄漏的1万个密码中就有64个用户使用如此简单的密码。相反,比如说eNr9p1v_z就是个难以猜测的密码。怎么记忆如此复杂的密码?
我是这么做的:
首先选择一句你喜欢的话,或者自己造个句子,比如说”我非常重视信息安全”。然后选择每个字或者单词的拼音或者英文或者其他语言的首字母,再把其中一些字母转换成大写、离该字母最近或者最远的数字键或者特殊字符等等,于是这句话就可能成了”iFn/e5a0″。
还有就是不同网站使用不同密码。这样能够避免一个帐号被盗而全军覆没。剑桥大学最近的研究就印证了这一点,大量网站对安全不够重视,导致黑客能够很容易的利用这些被你重复使用的密码。这样还能够防止某些居心不良的服务商把你帐号主动提供给政府然后他们顺便破解你所有的账户。
下一个非常重要的就是,不要让其他任何人知道你的数据备份帐号。不仅是密码不能泄漏,就连用户名也要保密!不要问我为什么,这个要自己好好琢磨;)在你使用这些至关重要的服务时,注意在浏览器上开启隐私浏览,更不能选择记住用户名和密码。
还有一点需要注意的是,你在登录网站时,用户名和密码应该被加密。但不幸的是,有些国内门户网站却并没有做到这一点。比如你登录Sina邮箱的时候,实际上是向login.sina.com.cn/hd/signin.php这个地址发出了一个HTTP POST消息,然后把你的用户名和密码明文传递。有图有真相。
简单的说就是你在向全世界宣布,我的用户名和密码在这里,欢迎大家窃取!
还有诸如QQ邮箱,明明提供了TLS/SSL加密,却偏偏要默认使用一个通过JavaScript进行加密的方式来进行”保护”。我在这里打上引号,是因为此类保护并不能对抗中间人攻击,黑客仍然能够通过截获和替换数据包来获取你的登录密码。
而GMail则不仅是在登录时,更是在整个会话期间提供了TLS/SSL加密保护,更加安全(关于TLS/SSL加密保护的更多细节,我会在下一篇文章中和大家分享)。
但就算你用了GMail,也不能说是绝对的安全。最起码,你可能面对各种钓鱼邮件,假冒Google给你发邮件,然后骗取你的密码。不要觉得这些攻击离你很遥远,前段时间就有一些维权人士遭受此类攻击。一般来说,服务商是不会向你索取密码的。因此,当你收到类似邮件,基本就能够认定是被钓鱼了。
总而言之,在网上混,凡事都要小心,多个心眼是没错的。还是哪句话,虽然没有绝对的安全可言,但我们能够尽量小心,大大的提高黑客攻击的成本,尽可能的确保安全。