原文地址:https://blog.cloudflare.com/cyber-security-advice-for-your-parents/
翻译水平有限,有不通顺的语句,请见谅。
原作者:Junade Ali
写于 25 Dec 2017

译者:驱蚊器喵#ΦωΦ


今天, 12月25日, 全世界范围内的 Cloudflare 办公点正在休息. 从旧金山到伦敦和新加坡; 工程师们已经回家度假了 (不过那些工程师随叫随到,密切监视他们的手机).

软件工程师的高级建议:

我再说一遍, 不要在本周部署. 否则你的假期就会在你的老旧卧室中,用着你父母的Wi-Fi调试程序错误过程中结束,你的爱人和你种族主义者的叔叔会讨厌你抛弃他们。

— Chris Albon (@chrisalbon) 2017年12月20日

既然如此,我们的支持和网站可靠性工程师(SRE)团队仍按计划进行,以确保万无一失(fingers were on keyboards); 周六, 我从伦敦开往沃里克郡(Warwickshire)的乡村. 离开来伦敦科技界的军营时,发生了如下对话:

  • 家里人: “现在你在做什么呢?”
  • 我: “我在网络安全部门工作.”
  • 家里人: “新闻里貌似每天都有的网络攻击发生! 我能做些什么尽可能的保护我的安全?”

如果你在科技行业工作, 也许你也会遇到一个家里的人询问你有关网络安全的建议. 本文将有望帮助你在制定建议方案的时候避免结巴(就像我一样).

基础知识

WannaCry 勒索攻击(Ransomware Attack) 是2017年最引人注目的网络攻击之一. 实质上, 勒索软件工作的原理是感染计算机,然后加密文件 - 阻止用户正常访问这些文件. 接着用户看到一个窗口,要求付款来解锁文件. 多种模仿的病毒,使用和WannaCry相同的漏洞,也大量涌现出来.

即使付款后,也是无用功,你可能无法还原你的文件 (不要对犯罪分子的真诚交易抱有期待).

据统计,WannaCry 已经感染了全世界超过了 30万台计算机; 其中包括瞩目的政府机构和企业, 英国的国家安全服务就是其中一个值得注意的例子。

尽管这次攻击造成了广泛的影响, 但是很多受害者可以相当容易的保护自己. 安全补丁已经可以用于修复用于此次攻击的漏洞,并且安装杀毒软件可以控制勒索软件的传播。

对于消费者; 安装更新是一个好办法,尤其是安全更新. 像 Windows XP 这样的平台不再接收安全更新,因此更新补丁已经失效 - 无论现在他们的补丁更新情况如何.

当然, 备份你的重要文件也是有必要的, 不仅仅是因为安全漏洞的威胁.

不要把鸡蛋放在一个篮子里

即使这不是复活节(Easter), 你也不应该把所有你的鸡蛋放在一个篮子里. 因此,在多个网站上使用同一个密码不是一个好主意.

密码从1961年开始一直存在,然而, 没有找到可以保留密码所有好处的替代物; 用户继续设置脆弱的密码, 网站开发者也将继续存储这些不安全的密码.

当开发人员存储计算机密码时,他们应该要这样做的:检查密码是否正确,但是他们永远不应该知道原始密码是什么. 不幸的是,很多网站 (包含一些受欢迎的网站) 很少实行网络安全规范. 当他们被黑了后, 每个人的邮箱/用户名和他们的密码组合的拷贝会被泄漏.

如果在多个网站上使用相同的邮箱/用户名和密码组合, 黑客能自动化的利用用户在一个网站的数据信息尝试登陆其他用户使用的网站.

因此, 在多个站点中使用唯一密码绝对非常重要。密码管理器应用程序(如LastPass1Password )可以让您为每个站点使用唯一的随机生成密码,但使用主密码从一个加密钱包管理它们。

基于个人信息或者使用字典里的单个词语的简单密码,也是远远不安全的. 计算机可以通过反复尝试各种顺序的常用密码来破解他们. 相似的,添加数字和富符号(比如,把 password 变为 p4$$w0rd) 也无济于事.

当你必须要选择一个需要记住的密码时, 你可以从一个句子创建强密码. 比如: “At Christmas my dog stole 2 pairs of Doc Martens shoes!“ 可以变为 ACmds2poDMs(我的狗在圣诞节偷走了两双Doc Martens鞋)! 基于简单句子的密码可能很长,但仍然容易记住.

另一种方法是简单得从字典中选择4个随机的单词, 比如: WindySoapLongBoulevard(刮风,肥皂,长,大道). (由于显而易见的原因, 实际上不要用这个作为你的密码.) 虽然此密码仅包含字母,但它比使用数字和符号的较短密码更安全。

多维安全

身份验证是计算机如何确认您是谁。根本上说,使用以下几种方法完成:

  • 某些你知道的东西
  • 某些你拥有的东西
  • 如何描述你

一份密码是一个使用”某些你知道的东西”来允许你登陆的例子; 如果有人能够访问那个密码, 那么该网络账号就完了(game-over).

相反, 也可以使用”某些你拥有的东西” . 这意味着,如果您的密码被截获或泄漏,您仍然有另一个保护帐号的安全措施.

实际上,这意味着在将密码输入网站后,系统可能还会提示您提供另一个在手机上app显示的代码,以便您在手机上阅读应用程序。这称为双因素身份验证。

许多世界上最受欢迎的社交、银行和购物网站都支持双因素身份验证。您可以在turnon2fa.com上找到如何在热门网站上启用它。

知道你在和谁说话

当您在线浏览网站时,您可能会注意到地址栏中的会亮起一个锁定符号。这表示在与网站通信时启用加密,这对于防止拦截很重要。

在将个人信息输入网站时,请务必检查此绿色锁头,并且网站地址以 “https://“开头。

然而,重要的是要仔细检查您要将个人信息放入的地址栏。是 cloudflare.com 还是被重定向到 cloudflair.com 或者是 cloudflare.net 上的一个狡猾的网站?

尽管加密的网络流量已经变得多么普遍,但在许多网站上,通过将互联网流量指向不同的地址仍然可以相对容易地取消此加密。在此文章中我描述了如何做到这一点:执行和防止SSL剥离:一个简单的英语入门

关注您在电子邮件中看到的链接通常也是很好的指导; 他们是从您的银行发送的合法电子邮件,还是他们只是试图捕获您的个人信息,从看起来像您的银行的虚假“网络钓鱼”网站上?仅仅因为某人有一些关于你的信息,并不意味着他们就是他们自称的人。有疑问时; 避免直接点击电子邮件中的链接,并单独检查电子邮件的有效性(例如直接访问您的银行网站)。正确查看“到”地址不足以证明电子邮件来自它所说的人。

结论

我们通常听到一些创新型安全漏洞, 但对于大多数用户而言,记住一些简单的安全提示足以抵御大多数安全威胁。

总结:

  • 作为经验法则,安装最新的安全补丁
  • 不要用过时的不会提供安全补丁的软件
  • 使用广受信耐的杀毒软件
  • 定期备份那些你不能失去的文件和文件夹
  • 使用密码管理器为不同的网站来设置随机、唯一的密码
  • 不要使用个人的关键信息作为密码
  • 向密码中添加数字和符号通常不会增加安全性,但会影响记住他们的容易程度
  • 在支持两步验证的网站开启两步验证
  • 当你输入个人信息的时候,检查地址栏,确保连接是加密的、网站地址是正确的
  • 不要相信在你电子收件箱里的所有东西,或者不要相信邮件中的任何链接; 即使是发件人提供了有关你的一些信息.

最后, 来自Cloudflare的每个人,我们祝您度过一个美好而安全的假期。如需进一步阅读,请查看 Internet Mince Pie数据库.