方格精選
商務人士自我保護、避免資安攻擊的10個方法:上篇/施典志
閱讀時間約 8 分鐘
世界上沒有「絕對安全」的手機或電腦;任何人的資料都有價值,即使資料真的沒有價值,也還可以當作跳板來攻擊他人。駭客不會因為你是「普通人」,就輕易放過你;大家都有正確的觀念與做法,才是個人與社會最大的資安保障。
施典志
曾任 Yahoo/Flickr 社群經理、 PC home 雜誌責任主編/副總編輯、博客來網路書店總經理特助、行銷部專案經理、城邦集團電腦人文化研究員、《Download! 網路學習誌》副總編輯等職務,熱衷社群經營、科技文化觀察分析。
筆者先前在〈小心!駭客,真的,就在你身邊〉一文中,花了很多篇幅介紹各種網路駭侵攻擊的樣態;本篇則從個人用戶的角度介紹10種方法,讓大家能夠最大限度的保護自己,避免成為受害者。
由於全部10點篇幅較長,所以分成上下兩篇;本篇先講前面五個方法。
1. 建立正確的資安觀念
首先,正確的觀念和知識,絕對是保護自己的第一道防線。
以下是一些必須建立,而且人人都應該知道的資安觀念:
- 沒有「絕對安全」的手機或電腦;
- 任何人的資料都有價值,而且可以當跳板;駭客不會因為你是普通人,就輕易放過你;
- 充分的資訊與認知,是自保的必要條件;平時多留意資安相關訊息、瞭解最新的威脅來源和保護做法,對你絕對有好處。
2. 採用比較安全的作業系統與防毒防駭軟體
雖然上面說了,沒有絕對安全的手機或電腦,但是有相對比較安全的系統:
- 電腦
先不談得自行安裝的 Linux;以主流的消費型電腦來看,Mac 就比 Windows PC 相對安全得多。
當然 Mac 上也有系統漏洞與駭侵攻擊,但以量和影響規模來看,Windows 的漏洞和駭侵攻擊遠比 Mac 嚴重得多——根據專門匯集各種資安漏洞資訊的 CVE Details 網站統計,2019 年發現的 Windows 10 嚴重資安漏洞(7分以上,最嚴重的滿分為 10 分)計有 198 個,而 Mac OS X 則為 55 個。
- 行動裝置
採用 iOS 的 iPhone、iPad,在系統漏洞、惡意軟體與駭侵攻擊的量和影響程度上,也普遍勝過 Android 機種。同樣看 CVE Details 的漏洞統計,iOS 在 2019 發現的 7 分以上嚴重漏洞為 29 個,相對的 Android 則有 91 個。
不只是作業系統本身會有漏洞,App 也會有。由於作業系統的架構不同,各平台 App 的安全漏洞與影響規模也有差別。
以行動 App 來說,根據一份統計指出,iOS 上有 38% 的 App 曾被發現存在高危險資安漏洞,而 Android App 有 43%。
總之,採用 Mac/iOS 平台的用戶,遭到駭客透過資安漏洞進行駭侵攻擊的機率,會比 Windows/Android 平台用戶要少。
如果你因為某些原因,必須使用相對比較危險的 Windows 或 Android,請務必安裝優良大廠出品的防毒防駭軟體、而且經常更新系統,以即時修補層出不窮的各種系統與軟體漏洞。
然後,一定要有防火牆;不管是軟體的還是硬體的,統統打開就對了。
很多惡意軟體是先感染機構中的某台電腦,然後透過內部網路到處傳播;現在不管 Windows 還是 Mac 系統,都內建了防火牆功能,可以擋掉相當多的奇怪連線,所以一定要記得打開。
3. 用密碼管理工具管好你的密碼
什麼叫做管好密碼?就三件事。前兩件事其實大家都知道,就是:
- 盡量使用又長又臭又複雜的密碼,例如大小寫字母、數字、特殊符號的隨意組合,更不要用生日、身分證字號等個資,以免被駭客輕鬆用字典攻擊、社交工程或暴力嘗試法輕鬆破解;
- 不要在不同的服務間重複使用相同的密碼。
然而,這兩件事非常違反人性。又長又臭又複雜的密碼,就是很難記住;不同服務又得使用不同的密碼,要去正確記住哪個服務用哪組密碼,大多數人也都做不到。
於是第三件事就顯得更重要,可以一次幫你輕鬆做好前兩件事:
3. 善用密碼管理工具。
密碼管理工具的妙用很多:
- 幫你產生複雜密碼:很多密碼管理工具,都能隨機產生各種複雜密碼的組合,不用自己想出來;
- 幫你記住不同服務使用的密碼:當你逛到某個需要密碼的網站或服務時,會自動記住你註冊時使用的密碼,並且在需要密碼時幫你自動輸入;
- 利用主要密碼管理所有密碼:這樣你就只要記一組主要密碼,需要其他密碼時,輸入主密碼即可;
- 以一個身分認證機制管理所有密碼:有些設備上有面孔或指紋辨識,密碼管理工具可以整合這些更安全的身分認證機制,要輸入密碼時只要辨認一下面孔或指紋,即可自動輸入帳密,你就連那一組主要密碼也不用記了。
如果你還沒開始用密碼管理工具,建議你現在,馬上,立刻去用。
好用的工具還不少,像是 Apple 平台上有個 Keychain Access(鑰匙圈存取),在 Mac 和 iOS 裝置上能透過 iCloud 同步密碼,所以能在 Mac 上和 iPhone、iPad 上輕鬆管理密碼。
Google 也做了類似的服務「Google 密碼管理器」,在 Google 生態圈的各項產品,如 Android 手機、Chrome 瀏覽器等也可通用。
4. 啟用雙重認證
如果你的服務有「雙重認證」功能,打開來啟用就對了。
雙重認證是在帳號和密碼之外的多一層保障。即使輸入了帳號和密碼,在某些場合下(例如偵測到使用不同的瀏覽器、未曾登入過的手機等裝置),會需要多一道登入認證手續,能將帳號被盜用的難度再拉高一些。
常用的雙重認證機制是透過簡訊認證:利用簡訊,將一組隨機產生的認證密碼傳送到你登錄的手機門號;登入時必須正確輸入這組認證碼才行,不然就無法成功登入。很多網路服務都提供了這類利用簡訊的雙重認證選項。
但是利用簡訊的雙重認證,也不是沒有風險;能取得你的手機門號使用權的人,就能 pass 簡訊認證。
先前在美國發生過一件事:Twitter 執行長 Jack Dorsey 的手機 SIM 卡被人利用一種叫做「SIM Swap」的技巧冒領,結果他自己的 Twitter 帳號就被成功盜走了:
可能美國的手機門市在查驗用戶身分方面比較寬鬆,所以駭客騙門市人員自己的 SIM 卡掉了;於是不費吹灰之力,就拿到燒有 Jack Dorsey 手機門號的新 SIM 卡,輕鬆繞過簡訊驗證。
由於台灣政府要求手機門市人員一定要驗雙證件,才能辦理各種門號異動手續,所以或許因為如此,簡訊驗證的安全性會比美國高一點也說不定。
如果信不過簡訊驗證,也可以採用「認證碼產生器」,例如 Facebook App 就有內建「代碼產生器」,可以用來進行臉書相關功能的雙重認證。
Google 還出了一個獨立的認證碼 App,叫做「Google Authenticator」,很多第三方服務也都提供透過 Google Authenticator 進行雙重認證的選項。
5. 隨時更新系統與軟體,修補已知漏洞
很多人就是不愛更新作業系統或軟體,大家總有各種各樣的理由。
有的人怕原本慣用的軟體,在系統更新後就不能用了(確實可能)、有些人覺得系統更新後會掉資料(這很少發生);有些人純粹只是害怕慣用的使用方法被迫改變。
但從資安角度看,有更新卻不更新,這絕對不是好事;因為作業系統和軟體必定有漏洞,廠商推出的各種更新,特別是定期發行的小更新,多半都是為了修補漏洞而出。
如果你不裝,就等於放著現成的漏洞不補,等人家來破台。
像是微軟和某些軟體服務商,每個月都有個俗稱「Patch Tuesday」的例行性更新;通常會在每月第二個星期二,固定會推出一大堆產品的更新修補;只要你不要去關掉系統的自動更新,已被發現的漏洞就會即時自動修補好。
如果這樣還是無法說服你,或者你真的不想立即更新、當白老鼠的話,至少請按照下列原則來更新:
- 大更新:可以稍等一下,例如 iOS 12 到 iOS 13,這種大版號的更新,比較多是功能新增或界面調整,比較容易發生大家擔心的舊軟體相容性或操作介面改變等問題。真的不想馬上更新,可以等一陣子,出了新的小改版(例如 iOS 13.1 版)時再更新;
- 小更新:如 iOS 13.1 到 iOS 13.2 等的小改版,多半是安全漏洞修補。這類的小更新不太會增加什麼翻天覆地的新功能,也不太會造成舊軟體相容問題,所以只要推出了,就應立即更新。
在下一篇文章中,我們再繼續來談另外五個也很重要的資安自保技巧。
本文有聲版
為什麼會看到廣告
留言0
查看全部
你可能也想看
Google News 追蹤
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享!
秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
獲得越南外派工作後,企業將協助辦理商務簽證、工作證和暫住證。在入境越南工作之前,你需要了解如何申請這三種證件。商務簽證提供給你初期入境,而工作證和暫住證則需要申請手續。入職前建議確認文件符合資格,避免工作證核發問題。同時提前解除勞僱關係可能需負擔辦證費用。文件簽名後可拍照存檔,以備後用。
很少看到這類書籍,所以迫不及待的買了!看完的確有所收穫! 值得推薦
內容簡介:
作者從國際專業服務行業的親身經驗,加上對台灣優秀公司管理經驗的透徹審視,本書將確實採用的具體解決方法,完全呈現給讀者。
什麼是專業服務公司?
專業服務公司的型態與組織
專業服務公司的經營與專業人士的成長
世間有所謂的八吉祥妙物,是茅草(吉祥草)、頻羅果(木瓜 )、白芥子、牛黃、黃丹、乳酪、寶鏡、右旋白海螺,這象徵人世間最祥瑞、珍貴的物品,可以使功德不斷增長擴大。供養八種吉祥物,就是代表希望這些祥瑞的珍稀物品,獻供以後,可以為我們招感眾善具足,平安吉祥。觀音山 第一屆 佛王誓約九日祈願大法會
如果入耳式給你安靜,那半入耳式則給你舒適
在降噪當道及通透模式的技術越來越成熟下,半入耳式藍牙耳機已經慢慢變成了小眾產品線,但是在商務上半入耳式能提供長時間的配戴,不會造成耳朵的負擔,再搭配上好的通話這才能成為商務人士的好夥伴
沒有一個人是天生的演說家,每個人在第一次上台時,都是非常緊張不安的。經過不斷地練習,加上有很想傳達的話語,我們可以克服台上的恐懼與緊張感。
一場精采的演講、一份具有影響力的簡報,同時也是優秀的領導者、企業家所需要具備的能力。
中央流行疫情指揮中心今天宣布,商務人士從3月7日起縮短居家檢疫時間,外界好奇移工是否會比照,指揮中心說,移工也會比照商務人士、不分對象,勞動部表示,目前已簽報指揮中心,如果屆時確認要調整,將會調整系統。
https://yupengcompany.com.tw/
「叫她回去!向來都是宴席上邀白拍子歌舞助興,我還沒聽過上門自薦的。」平清盛深感好笑,正要揮手下令趕人。通報稟明,門口有位名為仏御前的白拍子求見,16歲的少女聲稱願意自薦一曲。
企業在商務差旅上往往因為疏於管理或缺乏管理工具,造成直接成本與間接成本的各種損耗,市面上因此陸續出現數位化整合完整的一站式差旅管理系統,若能妥善選擇、運用合適的企業差旅解決方案,便能夠優化企業出差流程、節省開銷、增加效率、提升員工滿意度,出差旅行再也不必煩惱。
作者在前言就先重點提示「每天吃進肚子裏的東西,決定人們的健康」,日常飲食遠比想像地更大幅左右了健康、更嚴重地影響工作表現。
身體狀況不佳,有九成都源自於「血糖值」,本書介紹如何控制血糖值和健康長壽的準則。
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享!
秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
獲得越南外派工作後,企業將協助辦理商務簽證、工作證和暫住證。在入境越南工作之前,你需要了解如何申請這三種證件。商務簽證提供給你初期入境,而工作證和暫住證則需要申請手續。入職前建議確認文件符合資格,避免工作證核發問題。同時提前解除勞僱關係可能需負擔辦證費用。文件簽名後可拍照存檔,以備後用。
很少看到這類書籍,所以迫不及待的買了!看完的確有所收穫! 值得推薦
內容簡介:
作者從國際專業服務行業的親身經驗,加上對台灣優秀公司管理經驗的透徹審視,本書將確實採用的具體解決方法,完全呈現給讀者。
什麼是專業服務公司?
專業服務公司的型態與組織
專業服務公司的經營與專業人士的成長
世間有所謂的八吉祥妙物,是茅草(吉祥草)、頻羅果(木瓜 )、白芥子、牛黃、黃丹、乳酪、寶鏡、右旋白海螺,這象徵人世間最祥瑞、珍貴的物品,可以使功德不斷增長擴大。供養八種吉祥物,就是代表希望這些祥瑞的珍稀物品,獻供以後,可以為我們招感眾善具足,平安吉祥。觀音山 第一屆 佛王誓約九日祈願大法會
如果入耳式給你安靜,那半入耳式則給你舒適
在降噪當道及通透模式的技術越來越成熟下,半入耳式藍牙耳機已經慢慢變成了小眾產品線,但是在商務上半入耳式能提供長時間的配戴,不會造成耳朵的負擔,再搭配上好的通話這才能成為商務人士的好夥伴
沒有一個人是天生的演說家,每個人在第一次上台時,都是非常緊張不安的。經過不斷地練習,加上有很想傳達的話語,我們可以克服台上的恐懼與緊張感。
一場精采的演講、一份具有影響力的簡報,同時也是優秀的領導者、企業家所需要具備的能力。
中央流行疫情指揮中心今天宣布,商務人士從3月7日起縮短居家檢疫時間,外界好奇移工是否會比照,指揮中心說,移工也會比照商務人士、不分對象,勞動部表示,目前已簽報指揮中心,如果屆時確認要調整,將會調整系統。
https://yupengcompany.com.tw/
「叫她回去!向來都是宴席上邀白拍子歌舞助興,我還沒聽過上門自薦的。」平清盛深感好笑,正要揮手下令趕人。通報稟明,門口有位名為仏御前的白拍子求見,16歲的少女聲稱願意自薦一曲。
企業在商務差旅上往往因為疏於管理或缺乏管理工具,造成直接成本與間接成本的各種損耗,市面上因此陸續出現數位化整合完整的一站式差旅管理系統,若能妥善選擇、運用合適的企業差旅解決方案,便能夠優化企業出差流程、節省開銷、增加效率、提升員工滿意度,出差旅行再也不必煩惱。
作者在前言就先重點提示「每天吃進肚子裏的東西,決定人們的健康」,日常飲食遠比想像地更大幅左右了健康、更嚴重地影響工作表現。
身體狀況不佳,有九成都源自於「血糖值」,本書介紹如何控制血糖值和健康長壽的準則。