(这是我做网站时为IE6安全做的一个调侃提示图,与本文无关)
好久没写过博文了,今儿有空却又看到扣扣里好友的账户被盗,就整理分享下有关网络安全的经验吧!扣扣被盗,盗号者或在扣扣空间乱发内容或给被盗的扣扣里的好友发诈骗消息,这种现象大家见得多了,也就麻木了,我的扣扣好友里也会经常收到一些对方扣扣号被盗后发来的诈骗信息,要么让给充值网络游戏要么直接开口借钱...等等不一而足,被盗号者常有,而彻底清楚明白怎样才不会被盗号者少之。这篇文章是距上次身边朋友支付宝账户被钓鱼后写的文章的姊妹篇(点击查看先前的文章《如何防止账户密码、个人鉴权信息泄露》),上篇文章侧重于防止网络钓鱼,而这次的文章则更侧重于网络安全意识以及网络账户密码的保护措施经验分享。
===
网络世界,与密码息息相关,密码泄露其损失或大或小,小着个人名义受损大着带来经济损失乃至关乎国家安全的隐患如前段时间美国斯诺登曝光的棱镜门事件(去看看:斯诺登介绍、棱镜门)。
先汇总几个网络安全的触目惊心的部分报道:
- 网购充电宝竟有监听功能
- 男子用免费WiFi被盗刷3.4万
- 全国最大QQ号盗窃案开庭:嫌犯有3000余万个被盗QQ号
- 手机莫名没有信号 警惕支付宝被盗
- 盗得QQ密码登录支付宝转账 新型诈骗盗窃团伙案告破
- 12分钟支付宝卡被盗刷15笔 网络支付曝安全隐患
好了,就先列出6个让大家看了心有余悸的报道出来,怕列多了你们以后都不敢用网上银行、支付宝等存在损失隐患的网络服务了~
===
那么,网络安全真的只是网络安全工程师需要关心的吗?其实不然,身处当今网络世界如此发达的社会中,想要与网络安全完全撇开关系,一个字---难。
一、提升网络安全意识---账户被盗表象轻于鸿毛,网络安全意识重于泰山
何为网络安全意识?本文不是介绍哲学意识流形态的文章,一笔带过----提升自己在网络世界上的安全防范意识。打个比方:你走在平坦的大马路上,一定会留意大马路上有“马路杀手”,这是很自然的;但类比到网络世界上时你可能就只是仅仅走在平坦的大马路上,而没有留意大马路上有“马路杀手”;提升网络安全意识就是要把丢失或不重视的安全意识捡起来,把留意大马路上有“马路杀手”的意识重视起来。
二、网络上个人信息、账户被盗密码丢失的几种场景与防护措施
2.1、网络钓鱼
钓鱼很好理解,用鱼饵去“诱使”鱼儿吃,然后钓起鱼儿来。网络钓鱼于此类似,用“鱼饵”来“诱使”网民自己透露一些与网民切身利益相关的信息(如姓名、身份证号、乃至信用卡信息、账户密码),网络钓鱼者在获取到这些信息后就去真正的网站上个利用这些信息来榨取网民的利益。
网络钓鱼利用了网民网络安全意识淡薄,不加以识别打开的网页、软件等是否就是真实的冲动行为。
关于网络钓鱼的相关内容,这篇文章之前的姊妹篇已经介绍比较完善了,在此就不再多赘述。
2.2、账户密码过于简单,被强力破解
一般人设置密码都是一些常用的对自己有一定意义的字母或数字的组合,例如心仪之人的生日、门牌号、车牌号乃至姓名拼音等等不一而足。这种具有特定含义的字母组合或数字组合就构成了网民的密码组成“词典”,网络上现在还可以看到所谓的“密码词典”,词典嘛,顾名思义就是包含了所有上述提到的这些有特定意义的字母或数字组合的列表;黑客通过各种手段获取到网民可能使用的密码词典,使用强力破解软件随机组合多次尝试即可具有很高成功率的破解掉网民的密码。
如:我曾经的密码词典就是jj、xu、128、甚至888888,那么黑客拿到(怎么拿到的手段太多了)词典数据后就使用破解软件随机组合多次尝试我的各种网络账号,只要密码词典足够丰富,黑客总会拿到我的密码的。Ps:现在就别试我的密码词典了,早丢弃这些别人一猜就知道的与我有关的密码词典了。
---
这种被强力破解密码的攻破手段目前没有什么可以一下全部堵住的措施,但可以防范。上述提到的我的例子就是如此,不要使用别人一猜便知的“密码词典”是一方面,设置的密码足够长并且自己能记住又是一方面;如果可能,不固定间隔时间的常常更换密码也是一个措施。
身边有朋友,告诉她设置个复杂的密码并记住,结果呢她设置了个密码,然后用txt文档明文保存在电脑桌面上;更有甚者用个字条写着密码贴在电脑屏幕左上角...... 设置了复杂的密码,不记住却写出来又有什么意义呢?密码密码,就是保密的不能现身的字符码......
2.3、多个不同网络账号使用了同一个密码
一个账户密码的泄露就成了现实版的:城门失火殃及池鱼。
这种情况是导致扣扣账户被盗的最大根源之一。比如你的扣扣密码是123456,那么你又设置了你的微博账户密码是123456,那么一旦你的微博账户密码丢失,由于你的微博里可能填写了你的扣扣号,那么你的扣扣号密码也就丢失了.....
当然现实情况不会如此简单,各种小论坛、网站都会有账户注册的功能,而这些小论坛、小网站本身的安全机制不严(乃至一些大网站的安全机制都做的不够好),这些包含了你的账户、密码乃至个人信息(可以用于猜测“密码词典”)的网站数据就会被黑客获取到,例如那些年csdn等的账户数据库被黑客拖库的事件---密码外泄门。
这种情况导致的密码丢失问题是可以引起多米诺效应的;比如恰好你的邮箱被黑客掌握了,那么你用这个邮箱在其他网站注册的账户就很有可能会接着被盗,接二连三,最后导致网银、支付宝金钱损失自然不再话下.....等等不一而足。
2.4、个人信息泄露导致密码丢失、账户被重置
不要以为个人信息不重要,个人信息很大程度上就是你的密码构成的“密码词典”的“提示信息”,而某些个人鉴权信息(本人生造的词,具体解释详见本文的姊妹篇)又是账户重置的前提条件,如许多账户都有“忘记密码,找回密码”、“重置账户”的功能,现在手机几乎人手一部乃至几部,而许多网站又是用了手机短信发送某些与账户密码、消费确认有关的验证码信息的;一旦你的个人信息泄露,别有用心之人就会拿着这些信息以你的身份“合法”的盗取你的密码乃至资金。
如:淘宝上买东西,利用支付宝付款的时候会有一种使用手机短信发送验证码的待选方式来确认本次支付;那么别有用心之人拿到你的个人鉴权信息后,要么补办你的手机卡,要么用这些信息到支付宝申请重置密码之类操作,你的支付宝余额乃至余额宝不就危矣?
看到过类似的报道,别有用心之人先拿到受害者的个人信息,然后给受害者打无数的骚扰电话,让受害者不胜其扰主动关掉手机,然后别有用心之人拿着受害者的个人信息去补办了受害者的手机卡,由于受害者已关机别有用心之人就借着这段关机的时间盗光了受害者网银里的钱......这种情况很好防范:严格保护自己的个人信息,例如许多需要提供身份证复印件的线下内容,可以在提供给别人的复印件上打上“此复印件仅用于xxx”,另一方面千万不要把自己的手持身份证的照片给其他人或被其他人获取到(这已有案例,简称“秤砣门”的湖南瓜农被城管用秤砣杀害后,受害者女儿不明就里的手持身份证让人拍了照片,第二天新浪微博里就出现了一个瓜农女儿的认证微博账号,该账号还发了几条“感谢zf,感谢d的微博”,触目惊心啊~她父亲被狗曰的城管用目前兵器排行榜第一的秤砣杀害,还会有扯淡的心情去感谢zf感谢d???)。另外,当手机收到大量垃圾短信、骚扰电话轰炸的时候先挂失银行卡、转移走支付宝等第三方支付账户里的钱进行及时弥补等等诸如此类吧~
2.4、电脑中病毒、木马后输入账户密码时被键盘记录器记录导致密码丢失
典型的就是扣扣密码泄露,当电脑中有木马时,你在输入扣扣号、扣扣密码时木马就在你电脑里盯着你呢~你输入的内容全部被木马获取到,扣扣密码自然就被盗了,这里要提出的是扣扣密码丢失账户被盗许多人简称为:扣扣中毒,这种说法是有理解问题的,扣扣就是一个号码,它是不会中毒的,要说中毒只不过是你用过的电脑中毒罢了。
这种导致密码泄露的根源性问题在电脑中毒,前述提到的各种放置密码泄露措施再怎么严格也是白搭,这是一个如何放置电脑或移动设置中病毒的问题,三言两语道不明讲不清。仅列出几条概要吧~
2.4.1、不要安装不明就里的软件---别有用心的软件会捆绑病毒、木马
2.4.2、电脑安装杀毒软件--这只是对电脑小白的建议,像我的电脑就是裸奔,从来不装杀毒软件,良好的电脑使用习惯与网络安全意识才是根源性问题所在。
2.4.3、扣扣里陌生人乃至熟人传来的可疑文件、扣扣群里某些以带某种色菜的字眼命名的文件、邮箱里的陌生人乃至熟人发送的可疑文件不要轻易打开,一般而言后缀为.exe最为可疑,某些伪装过的文档也是可疑的,若.doc、.xls、.pdf等等
2.4.4、电脑及时打好补丁,这个国内各种安全卫士可以完成。
2.4.5、仅对扣扣来说的:对不确定是否中病毒或在公共电脑上登录扣扣时,可以不按顺序输入密码,先输入密码的一部分,然后鼠标点击至相应位置再输入另外一部分;木马只能获取到你键盘输顺序输入的密码,而你输入时已打乱过,黑客获取到不过是有顺序问题的密码;更为安全的方式是使用密码输入框后方的小键盘按钮,打开小键盘使用鼠标点击输入密码,并且在这个过程中可以使用键盘输入一部分使用小键盘中的鼠标输入一部分,这个同时任然可以打乱输入顺序。
如你的扣扣密码是123456,那么输入密码时先输入456,然后鼠标点击至最前位置再输入123;当然现实情况并不会如此简单,这就需要各位看官自己操作啦~
===
导致密码泄露的场景当然不仅仅只有这些,更多网络安全就要靠各位看客们自己提升网络安全意识的同时自我留意了,鄙人也会在后续有空的前提下以第三篇姊妹篇的形式再次总结。
三、防止个人信息丢失、密码泄露的一些小措施
1、不要使用旁人一猜便知的“密码词典”设置密码,密码设置的足够长并用大脑记住。
2、不要在不同的账号中使用同一个或类似密码。
3、不固定时间的更换密码。
4、如果可以,小网站中注册账户时使用专门的一套不重要的密码与不重要的邮箱,不填写任何个人信息,如住址、真实姓名、性别、爱好等等之类的信息。
5、清理已有并且不重要的账户中的个人信息,能删则删,不能删则改为虚假的个人信息。
6、防中病毒、中木马--不要点击垃圾网站中的某些看起来很“诱惑”的链接,不要下载并安装不明底细垃圾软件,例如某些垃圾视频网站中经常就会潜伏一些病毒、木马。
=====
晶晶在线站长原创文章,转载请保留本文链接。
非常的好啊!!!