信息安全指南: 我该怎么保护个人的信息安全?
在这个快速发展且不断变化的数字世界里,保护个人安全对非 IT 界人士而言可能是一个艰难的挑战。对大多数人来说,他们都不会仔细地去考虑安全。
反正又不会有人想搞我,而且我们用的软件服务和设备都是很安全的对吧?
真实世界的逻辑也可以应用到数字世界,比如大家都知道要把自己家的房门锁好。 要知道,外界可是有许多”不怀好意”的人:政府、犯罪分子、黑客、脚本小子甚至还有人到处找免费热点想黑进去。
这是一篇给普罗大众的信息安全指南,遵循它,可以大大提高你的个人信息安全。
更新!一定要更新!
保护你的信息安全最重要的一点就是让所有软件和设备处于最新的版本。安全漏洞在不断的被发现和修复,而那些未修复的漏洞才是真正的危险之处。运行过时或不再受支持的软件也非常危险,因为网络犯罪分子通常利用这些软件的已知漏洞来瞄准那些毫无戒心的人。
如今的操作系统、浏览器和手机应用程序基本上都会自动更新,或者在更新可用的时候通知你。
千万不要关闭自动更新!更甚,请主动搜索并安装这些新的更新。把不会自动更新的旧软件(比如 PDF 阅读器)替换成新软件也是很重要的。
- 使用微软 Windows 的用户应该立即更新到最新版本(撰写本文时是 Windows 10 1803)。不要再使用 Windows 7、Vista或XP,这些版本已经过时而且不安全。
- 因为 Mac 上的系统更新是免费的,所以使用苹果的用户没有任何理由不更新到最新版本(撰写本文时是 High Sierra)。安全更新通常是一个月发布一次,请在发布后立即下载并安装!
- 使用 Linux 的用户需要选择一个能受到长期支持和及时收到安全更新的分支。我推荐 Linux Mint。
- 像路由器或者 NAS 这类硬件通常都不会自动更新。 但同样的,这些设备可能偶尔会收到更新(非重大漏洞的情况下)。建议是每 3 个月手动检查一次更新。
- 现时苹果 iOS 的用户和 Mac 用户一样,都会收到更新。
- Android 的安全补丁简直是一团糟——旧版本的手机根本不会接收到更新,即使你买了没几年也一样。对于手持设备的话,则是推荐使用 Google 家的 Pixel,因为 Pixel 可以直接从 Google 接收安全更新,并且一般会持续好几年。
密码和 PIN
随着电脑的处理速度越来越快,这个特性可以亦可以为那些犯罪分子和黑客提供便利——能更快速的破解你的密码。大多数人的密码都很弱,因为基本上都是相对简单的排列组合,并且在许多站点都公用同一个密码。
现在的密码破解程序只需要几秒钟就能破解六个字符的密码。七个字符的密码也很快,八到九个字符的密码也是如此。
我(原作者)的推荐是:密码应该至少有 15 个字符,越多越好。并且使用短语来增加它的复杂性。比如 WoZuiXiHuanYingLiLiLe! (或者 ErirI_IS_200%_SEXY)就远比 ghU89!yhkQwl$ 强,还很容易记。
因为用户需要记住密码,为了方便,很多人都在不同的网站、服务商使用同一个密码。这是个非常危险的坏习惯。我强烈建议在不同情况下使用不同的密码:比如你的电脑的登陆密码就不应该和你的百度密码或QQ的密码一致。
话又说回来了,既然重复使用相同的密码不安全,那么我们该怎么记住这么多的长密码呢?
答案是:使用一个密码管理器。
我个人更喜欢本地的密码管理器比如 KeePass 和它的派生产品 KeePassXC (个人最喜欢的版本!)。这些互相兼容的密码管理器将你的密码储存在了一个有主密码保护的加密数据库中。请务必使用一个非常长的的密码作为主密码!此外,当使用这些本地密码管理器(比如 KeePassXC)时,请保留一份数据的副本(通常文件名是 Passwords.kdbx)到当前设备之外的位置,比如烧录到光盘,然后放到保险箱。
我建议将所有帐户和密码存储在 KeePassXC 里面。当需要新密码的时候,让 KeePassXC 为你生成一个密码。使用密码管理器熟练之后,这将成为你的第二个好习惯,并且这将极大地提高你的信息安全。
在智能手机上,我建议使用至少 8 位的 PIN 码。当然,你也可以再配置指纹或者 Touch ID(iPhone 用户)用于快速解锁,这样 PIN 就不会给你带来太多麻烦。
最后,请将所有的设备配置为”一段时间不活动后自动锁定”。通常,计算机可以设定为 5 分钟,手机上 2 分钟就够了。
网络钓鱼诈骗
网络钓鱼是一种企图从电子通信中,透过伪装成值得信赖的实体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗。这通常都是出于恶意原因的。
最常见的网络钓鱼形式是给你发送一封关于你的异常行为冻结的电子邮件,并且伪装成想得到你密码的网站。比如:这封电子邮件看起来像是来自 PayPal 的,但实际上内容里面的链接指向的是一个假 PayPal 网站的链接,而这旨在欺骗受害者输入他们的用户名和密码。
为了保护自己免受此类诈骗,请对你收到的任何未经请求的通信(电子邮件或短消息形式)保持怀疑态度。不要点击链接,也不要打开附件,更不要回复你的任何帐号密码或在打开的网站填入。它们有可能是一个骗局。
有需要时,请在浏览器内用书签或者输入网址的方式直接通过官方门户登录银行或电子商务供应商。
如果你收到了这类邮件,请立即删除。
社会工程诈骗
社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。
最常见的与计算机相关的社会工程是接到来自声称自己来自某个信赖的个体(比如银行或你的电信服务提供商)的电话,然后请求你的个人详细信息来解决各种问题。这些热心的人都是假的,他们询问这些只是出于他们邪恶的目的——为了盗取个人信息以及银行卡里的金钱。
为了保护自己免受此类诈骗,请不要向任何人提供你的机密信息。比如网上银行的密码——这类密码应该只有你一个人知道,而且真正的银行是不会在电话里向你索要密码的。
如果你收到了这类电话,请立即挂掉。
恶意 USB 设备
某些犯罪分子使用的一种方法是——在公共场合故意丢弃恶意 USB 设备,然后等着毫无戒心的人拿起它们,带回家然后插入自己的计算机。这类 USB 设备一旦插入到你的电脑上后,会破坏你的家庭网络。
你不应该相信你随意捡到的 USB 设备。
如果你发现了地上有这类设备,请不要捡起。
公共 Wi-Fi 也要谨慎
使用免费的公共的 Wi-Fi 可能会非常危险。因为里面可能会有中间人攻击、网络监视和恶意热点等不怀好意的人等你上钩。
强烈建议你在旅途中使用手机的数据网络来访问互联网。如今,使用笔记本连接手机的热点并不困难。
如果您手机的数据流量有限,并且必须使用公共 Wi-Fi 的话,则强烈建议你仅将此类 Wi-Fi 与加密的虚拟网络(VPN)结合使用。我推荐 ProtonVPN,BolehVPN 或 IVPN 这类可信赖的商业 VPN 提供商。ProtonVPN 还提供低带宽的免费 VPN,如果你不经常使用公共 Wi-Fi,这是一个很好的选择。
磁盘加密
磁盘加密是一种技术,加密过的磁盘内容几乎无法被破解。例如:你丢失了一个已经关机的笔记本电脑,或者小偷窃取了你的家用电脑,则这时磁盘加密将防止你的数据被泄露(译注:如果陈冠希有加密的话,可能 >_>)。
磁盘加密需要密码。因此选择一个强的主密码非常重要(至少十五个字符长)。此外,请永远不要忘记这个密码。如果忘记了,那你只能和这些数据说再见了。
- Windows 用户建议升级到专业版以启用 Bitlocker 全盘加密。然而,升级到专业版的价格是有点小贵的——但这是一个很小的代价,因为换来的是放心和安全。
- Mac 自带 FileVault 可以用于磁盘加密。但是,默认情况下这是禁用的。Mac 用户必须要在设置的安全和隐私中启用它。
- Linux 发行版提供 LUKS 磁盘加密。请在安装时启用全盘加密。
- 现代的 Android (译者注:Android 8.0 起)默认都开启了加密,而大多数旧款 Android 设备却没有。旧的 Android 设备也不安全。因此建议升级到现代 Android 设备,比如 Google Piexl。并且请设置强的 PIN 码。
- 现代 NAS,比如 QNAP 和 Synology 设备,也提供加密功能。如果 NAS 用于存储机密信息,比如财务详细信息或者家庭照片,则建议设置加密共享。请注意,每次启动或者重启 NAS 时,你都需要登录管理页面才能解锁共享。这只是一个非常小的不便。
开启防火墙
计算机防火墙在内部网络(例如你的家庭网络)和外部网络(例如互联网)之间建立一道屏障。防火墙用于防止未经授权的家庭网络(或其他网络)访问。
- 自Windows XP 起系统就自带了防火墙,默认情况下是开启的(译注:网上流传的 Ghost/盗版操作系统一般都会禁用防火墙和反病毒软件)。
- Mac 自带防火墙。但默认情况下是禁用的。Mac 用户必须要在设置的安全和隐私中启用它。
- Linux Mint 默认不启用防火墙。请安装并启用 Uncomplicated Firewall(UFW):
sudo apt install gufw
sudo ufw enable
- 请确保你路由器的防火墙已启用,有时候它的名称为_状_态包检测(SPI)。大多数现代路由器都默认启用防火墙,而许多旧的都不支持。如果你拥有一台旧的路由器,我建议你使用现代路由器替换它。
加固你的路由器和 Wi-Fi
差劲的路由器和 Wi-Fi 配置是网络不安全的常见来源。它可以允许来自世界另一端的黑客或坐在外面的监视者进入你的家庭网络。
对于没有技术经验的人来说,即使现代路由器操作比以前更简单,配置路由器可能会让人望而生畏。大胆打电话向别人求助,总比使用不安全的路由器更好。
这些简单的规则将大大提高路由器的安全性:
- 更改路由器的默认管理员密码。现在就去做!按照上面所述的来设置一个强的密码。admin / admin(用户名 / 密码)的配置简直就是邀请黑客来破坏你的网络。
- 设置 Wi-Fi 时请开启加密,一般的名称为 WPA2 个人,有时叫 WPA2-PSK。
- 设置一个唯一的 Wi-Fi 标识符(SSID),不要使用路由器默认的。
- 请设置一个非常强的 Wi-Fi 密码,至少 30 个字符为佳。
- 如果你的路由器提供访客 Wi-Fi 功能,那么请为你所有的智能手机设置单独的安全访客网络。这种分段的网络架构将保护你的家庭网络免受旧款智能手机中任何漏洞的侵害。
从可信来源安装好软件
安装软件、应用程序或浏览器插件时要非常谨慎。互联网上有很多恶意软件冒充自己为有用或合法的软件。只从官方来源安装信誉良好的软件。手机端可以使用 Google Play Store(Android)或 Apple App Store (iOS)这类商店(译注:也有一定几率在合法的可信来源安装到恶意软件,但是几率很低)。
请永远不要安装或运行可疑的软件(比如游戏外挂),这些软件通常都是或带有恶意软件。
浏览器推荐
对于所有平台(除了 iOS),我推荐 Google Chrome 浏览器以增强安全性。从沙盒,加固版本,自动更新到多平台支持,Chrome 是一个难以被击败的产品。 iOS 的话,最好的选择是使用默认的 Safari 浏览器。
添加下面的 3 个扩展程序可以增强 Chrome 的安全性:
- HTTPS Everywhere 是一个尽可能强制使用加密连接的扩展。某些网站同时提供纯文本连接和加密连接,但默认是纯文本连接,而这些连接很可能会被窃听。在这种情况下,这个扩展将强制使用加密连接。
- uBlock Origin 是一个内容过滤扩展,它以组织广告而闻名,但它也会阻止已知的托管恶意软件的网站。
- Privacy Badger 是一个在你浏览网页时自动学习并阻止跟踪器的扩展,它将增加浏览会话的隐私性和安全性。
Windows 上的杀毒软件
在以前,运行第三方 Windows 防病毒软件是很必要的。然而,现代版本的 Windows 附带了自己的产品:Windows Defender,这对大多数人来说足够了。
我建议使用 Malwarebytes 这款反恶意软件,而不是购买反病毒软件。免费版本可供个人及家庭使用,并且可以只在需要时运行它。同时它还有可以提供实时保护的付费版本。
Windows Defender 和 Malwarebytes 可以很好的互补,为现代版本的 Windows 提供卓越的保护。
备份
如果你遇到了以下情况,那么备份将会拯救你:计算机故障、由于重大安全事故导致的数据删除或由于安全事件将你”锁”在数据之外。勒索软件就是一个例子。它们将永久加密和锁定你的数据,除非你向网络犯罪分子支付赎金来解锁。请注意:支付赎金很少情况下会让你访问你的数据,所以请永远不要向勒索软件支付赎金。
备份主要有两种方式:本地或在线。前者通常需要 USB 驱动器,而后者将基于互联网。
我首选的本地备份软件:
- Genie Timeline 是对 Windows 用户友好的备份软件。
- Time Machine 是对苹果 Mac 用户默认提供的简单自动备份解决方案。
- Deja Dup 是 Linux 下的简单备份实用程序。
当使用这些本地备份软件时,请启用这些软件的加密支持。一旦你的备份丢失或者被盗,你肯定不希望别人读取它。
如果你已经有了一个备份策略但没有给备份加密,那么我强烈建议你购买一个 Apricorn 家的存储器并且设置一个强的硬件 PIN。
对于储存在互联网上的加密备份,我推荐 SpiderOak 家的 One 服务。
请确保备份定期运行,至少每周一次。
无论你采用哪种方法,请确保有一个备份策略——任何方案都可以。因为有一天你的计算机可能会突然死亡,或者你突然遭受网络攻击并成为其的受害者。到那时,你会非常感激你自己——因为你有备份!备份就是你的数字保险,你应该备份你的数据——就像你为家庭内的成员或东西投保一样。
多因素身份验证
多因素身份验证(MFA)是仅在客户端提供多个有效身份证据后才授予访问权限的方法。
大多数系统何服务都默认使用单因素身份验证,这通常是单独的密码或者 PIN。
双因素认证(2FA)需要两个认证方式:例如密码和一次性 PIN 码。这个一次性 PIN 码可以用身份验证器这类应用程序提供,也可以通过短信/电子邮件发送。
目前很多服务都提供了 2FA,比如: Google、Facebook、Twitter 和 Apple 等。
2FA 极大地提高了帐户的安全性,强烈建议高价值目标使用。但是,大多数的公民不是高价值目标,所以问题来了:这种不便真的值得吗?你需要自己做出判断。目前,我推荐大多数人都使用强的单因素身份验证。
总结
正如需要花费一点精力来保护你的实际资产一样,数字资产也需要花费一些精力来保护。在现代,这更是不可或缺的。如果你遵循这些,那应该不会很困难:
- 保持设备和软件处于最新状态
- 每个地方都使用强且独立的密码
- 不要成为网络钓鱼、社会工程或恶意 USB 设备诈骗的受害者
- 不要使用公共 Wi-Fi,如果需要则必须搭配 VPN
- 如果可以,请加密你的硬盘
- 开启防火墙
- 加固你的路由器和 Wi-Fi
- 只从可信来源安装声誉好的软件
- 使用 Chrome 浏览器(译注:或 FireFox),并且搭配 HTTPS Everywhere、uBlock Origin 和 Privacy Badger 这类扩展程序
- Windows Defender 和 Malwarebytes 是你需要的唯一防病毒软件。
- 如果你是一名高价值的目标,启用二步验证
- 备份数据
最后祝你有一个愉快的网络体验。
相关阅读
翻译 By 251 aka 电酱! & Jixun
2018-10-02 in JCI.
***
Original: Sensible Computing Security Tips by bluz71.
如果喜欢本文,欢迎点击下方的「鼓掌」按钮!
如果上面没有加载出任何东西,可以点击这里。