更新於 2024/10/18閱讀時間約 8 分鐘

10 個自我保護、避免駭侵攻擊的方法(上篇)

本文相關 Podcast 節目
上一篇文章中,我們花了很多篇幅,介紹各種駭侵攻擊的樣態;本篇會從個人用戶的角度,為各位介紹十種方法,讓大家能夠最大限度的保護自己,避免成為駭侵受害者。
由於文章過長,所以分成上下兩篇;本篇先講前面五個方法。

1. 建立正確的資安觀念

首先,正確的觀念和知識,絕對是保護自己的第一道防線。
以下是一些必須建立,而且人人都應該知道的資安觀念:
  • 沒有絕對安全的手機或電腦;
  • 任何人的資料都有價值,而且可以當跳板;駭客不會因為你是普通人,就輕易放過你;
  • 充分的資訊與認知是自保的必要條件,平時多留意資安相關訊息,了解最新威脅來源和保護做法,對你絕對有好處。

2. 採用比較安全的作業系統與防毒防駭軟體

雖然上面說了,沒有絕對安全的手機或電腦,但是有相對比較安全的系統:
不只是作業系統本身會有漏洞,App 也會有。由於作業系統的架構不同,各平台 App 的安全漏洞與影響規模也有差別。以行動 App 來說,根據一份統計指出,iOS 上有 38% 的 App 曾被發現存在高危險資安漏洞,而 Android App 有 43%。
總之,採用 Mac/iOS 平台的用戶,遭到駭客透過資安漏洞進行駭侵攻擊的機率,會比 Windows/Android 平台用戶要少。
如果你因為某些原因,必須使用相對比較危險的 Windows 或 Android,請務必安裝優良大廠出品的防毒防駭軟體,而且經常更新系統,以即時修補層出不窮的各種系統與軟體漏洞。
然後,一定要有防火牆,不管是軟體的還是硬體的,通通打開就對了。很多惡意軟體是先感染機構中的某台電腦,然後透過內部網路到處傳播;現在不管 Windows 還是 Mac 系統都內建防火牆,可以擋掉相當多的奇怪連線,一定要記得打開。

3. 用密碼管理工具管好你的密碼

什麼叫做管好密碼?就三件事。前兩件事其實大家都知道,就是:
  • 盡量使用又長又臭又複雜的密碼,例如大小寫字母、數字、特殊符號的隨意組合,更不要用生日、身分證字號等個資,以免被駭客輕鬆用字典攻擊、社交工程或暴力嘗試法輕鬆破解;
  • 不要在不同的服務間重複使用相同的密碼。
然而,這兩件事非常反人性。又長又臭又複雜的密碼,就是很難記住;不同服務又得使用不同的密碼,要去正確記住哪個服務用哪組密碼,大多數人也都做不到。
於是第三件事就顯得更重要,可以一次幫你輕鬆做好前兩件事:善用密碼管理工具。
密碼管理工具的妙用很多:
  • 幫你產生複雜密碼:很多密碼管理工具都能隨機產生各種複雜密碼的組合,不用自己生;
  • 幫你記住不同服務使用的密碼:當你逛到某個需要密碼的網站或服務時,會自動記住你註冊時使用的密碼,並且在需要密碼時幫你自動輸入;
  • 利用主要密碼管理所有密碼:這樣你就只要記一組主要密碼,需要其他密碼時,輸入主密碼即可;
  • 以一個身分認證機制管理所有密碼:有些設備上有面孔或指紋辨識,密碼管理工具可以整合這些更安全的身分認證機制,要輸入密碼時只要辨認一下面孔或指紋,即可自動輸入帳密,你就連那一組主要密碼也不用記了。
如果你還沒開始用密碼管理工具,建議你現在,馬上,立刻去用。好用的工具還不少,像是 Apple 平台上有個 Keychain Access(鑰匙圈存取),在 Mac 和 iOS 裝置上能透過 iCloud 同步密碼,所以能在 Mac 上和 iPhone、iPad 上輕鬆管理密碼。
設定「iCloud 鑰匙圈」
點一下「設定」,點一下 [您的姓名],然後選擇「iCloud」。 點一下「鑰匙圈」。* 滑動以開啟「iCloud 鑰匙圈」。系統可能會要求您提供密碼或 Apple ID 密碼。 選擇「蘋果」選單  >「系統偏好設定」。 在 macOS Catalina 中,按一下「Apple ID」,然後按一下側邊欄中的「iCloud」。在 macOS Mojave 或之前版本中,按一下「iCloud」。 選取「鑰匙圈」。* 若在登入 Apple ID 時選擇「稍後核准」,就必須在系統提示時使用舊密碼或從其他裝置核准。若無法核准,請在系統提示時重置您的端對端加密資料。 *在執行 iOS 13 的 iPhone、iPad 或 iPod touch 上,或在執行 macOS Catalina 的 Mac 上,您必須進行雙重認證才能開啟「iCloud 鑰匙圈」。如果您尚未設定,系統會提示您更新為雙重認證。 點一下「設定」,然後選擇「密碼與帳號」。 點一下「網站與 App 密碼」或 App。 系統出現提示時,使用 FaceID 或 Touch ID。 若要查看密碼,請點一下網站。 您也可以在「iCloud 鑰匙圈」中手動新增或移除密碼。若要手動新增密碼,請點一下「加入」按鈕 ,接著輸入網站與密碼資訊。若要移除密碼,點一下「編輯」。然後選取網站,並點一下「刪除」。 開啟 Safari。從 Safari 選單中選擇「偏好設定」,然後按一下「密碼」。 輸入您的使用者帳號密碼。 若要檢視密碼,請選取網站。 您也可以在「iCloud 鑰匙圈」中新增或移除密碼。若要更改密碼,請選取網站,按一下「詳細資訊」,更改密碼,然後按一下「完成」。 「iCloud 鑰匙圈」會儲存信用卡號碼與到期日(但不會儲存或自動填入安全碼)、密碼與使用者名稱、Wi-Fi 密碼、Internet 帳號與其他資訊。如果 App 所在的裝置為 iOS 7.0.3 或以上版本,或是 OS X Mavericks 10.9 和以上版本,開發者也可以更新他們的 App 來使用鑰匙圈。如果您在「iCloud 鑰匙圈」中沒有看到儲存的項目, 請參閱這篇文章了解該如何處理 。 iCloud 會使用端對端加密技術來保護您的資訊,以提供最高層級的資料安全性。保護您資料的方式,是利用裝置獨有資訊所產生的密鑰,搭配只有您知道的裝置密碼。無論在傳輸或儲存狀態下,他人都無法存取或讀取這項資料。 更多內容 。 當您關閉裝置的「iCloud 鑰匙圈」時,系統會詢問您要保留或刪除原先儲存的密碼和信用卡資訊。如果您選擇保留資訊,當您在其他裝置上進行變更時,這些資訊將不會遭到刪除或更新。若不選擇將資訊保存在至少一部裝置上,您的「鑰匙圈」資料將從裝置及 iCloud 伺服器刪除。 不能。如果錯誤輸入「iCloud 安全碼」太多次,就無法使用該「iCloud 鑰匙圈」。您可以 聯絡 Apple 支援 ,以確認您的身分並再試一次。在進行多次錯誤的嘗試後,您的鑰匙圈就會自 Apple 的伺服器移除,而您需要重新設定。
Google 也做了類似的服務「Google 密碼管理器」,在 Google 生態圈的各項產品,如 Android 手機、Chrome 瀏覽器等也可通用。
也有不錯的第三方工具,可以跨平台使用,例如 1Password 或 LastPass 等。功能大同小異。

4. 啟用雙重認證

如果你的服務有雙重認證功能,不要廢話,打開來啟用就對了。
雙重認證是在帳號和密碼之外的多一層保障,即使輸入了帳號和密碼,在某些場合下(例如偵測到使用不同的瀏覽器、未曾登入過的手機等裝置),會需要多一道登入認證手續,能將帳號被盜用的難度再拉高一些。
常用的雙重認證機制是透過簡訊認證,利用簡訊傳送一組隨機產生的認證密碼,到你登錄的手機門號;登入時必須正確輸入這組認證碼才行,不然就無法成功登入。很多服務都有這項利用簡訊的雙重認證選項。
但是利用簡訊的雙重認證,也不是沒有風險;能取得你的手機門號使用權的人,就能 pass 簡訊認證。先前在美國發生過一件事:Twitter CEO Jack Dorsey 的手機 SIM 卡被人利用一種叫做「SIM Swap」的技巧冒領,結果他自己的 Twitter 帳號就被成功盜走了:
我猜可能是美國的手機門市比較沒在查驗用戶身分,所以駭客騙門市人員說自己的 SIM 卡掉了,不費吹灰之力就拿到燒有 Jack Dorsey 手機門號的新 SIM 卡,輕鬆繞過簡訊驗證關卡。
台灣政府要求手機門市人員一定要驗雙證件,才能辦理各種門號異動手續,因此簡訊驗證的安全性,可能會比美國高一點也說不定。
如果信不過簡訊驗證,也可以採用「認證碼產生器」,例如 Facebook App 就有內建「代碼產生器」,可以用來進行臉書相關功能的雙重認證;Google 還出了一個獨立的認證碼 App,叫做「Google Authenticator」,很多第三方服務也都提供透過 Google Authenticator 進行雙重認證的選項。
Google Authenticator 的使用方法,有很多教學文章,請各位自行搜尋,這裡就不贅述了。

5. 隨時更新系統與軟體,修補已知漏洞

很多人就是不愛更新作業系統或軟體,大家總有各種各樣的理由。
有的人怕原本慣用的軟體,在系統更新後就不能用了(確實可能)、有些人覺得系統更新後會掉資料(這很少發生);有些人純粹只是害怕慣用的使用方法被迫改變。
但從資安角度看,有更新卻不更新,這絕對不是好事;因為作業系統和軟體必定有漏洞,廠商推出的各種更新,特別是定期發行的小更新,多半都是為了修補漏洞而出。如果你不裝,就等於放著現成的漏洞不補,等人家來破台。
像是微軟和某些軟體服務商,每個月都有個俗稱「Patch Tuesday」的例行性更新;通常會在每月第二個星期二,固定會推出一大堆產品的更新修補。只要你不要去關掉系統的自動更新,已被發現的漏洞就會即時自動修補好。
周二补丁日
周二补丁日发生在每个月第二周(有时是第四周)的周二,于UTC时间18:00或17:00开始,经由 Windows Update 推送给用户。同时,补丁会被发布至微软网站上,微软知识库和 Technet 公告也会随之更新。 微软有一种习惯,会在偶数月份发布更多的更新,相应奇数月份的更新会更少。 少数更新也会在周二补丁日之外被发布。某些更新,例如 Windows Defender 的病毒库更新则会每天发布。有时候,在一次常规的周二补丁日之后会有一次额外的周二补丁日。另外一些更新则可能随时会被发布。 从 Windows 98開始,微软集成了 Windows Update,它将检查微软不定期发布的 Windows 的补丁。除此之外,它还会检查其他微软产品的补丁,如 Microsoft Office、 Visual Studio和 SQL Server 等。 早期版本的Windows Update存在两个问题: 1.经验不足的用户通常不会意识到Windows Update并且没有安装它。 微软在 Windows ME中使用 自动更新 组件解决了此问题,该组件显示了更新的可用性,并提供了自动安装选项。 2.拥有多个Windows副本的客户(例如企业用户)不仅必须更新公司中的每个Windows部署,还要卸载微软发布的破坏现有功能的补丁。 微软于2003年10月推出了"补丁星期二",以降低分发补丁的成本。该系统每月发布累积安全补丁,并在每个月的第二个星期二推送所有补丁,这是为了系统管理员准备的事件。 第二天,被非正式地称为"漏洞星期三",标志着届时 漏洞 将可能大量利用未安装安全补丁的电脑。 周二被选为分发软件补丁的最佳日期。 这样做是为了最大限度地延长即将到来的周末之前的可用时间,以纠正这些补丁可能出现的任何问题,同时腾出周一解决上周末可能出现的其他意外问题。 一个明显的安全隐患是,有一个解决方案的安全问题被公众拒绝长达一个月。当漏洞未广为人知或轻微时,此政策就足够了,但情况并非总是如此。有些情况下,漏洞信息已泄露或实际 蠕虫 在下一个计划的补丁星期二之前流行。在关键情况下,微软会在准备好时发布相应的修补程序,以便在检查并经常安装更新时降低风险。 在"点亮 2015"活动中,微软公布了分发安全补丁的变化。他们准备好后立即发布家用电脑,平板电脑和手机的安全更新,而企业客户将保持每月更新周期,并将其更新为Windows Update for Business。 补丁发布后不久就会出现许多漏洞利用事件 ,对补丁的分析有助于利用开发人员立即利用之前未公开的漏洞,该漏洞将保留在未修补的系统中。因此,"利用星期三"这个词被创造出来。 微软警告用户,自2014年4月8日起停止对 Windows XP的支持 - 之后运行Windows XP的用户将面临被黑客攻击的风险。由于较新的Windows版本的安全补丁可以揭示新版本和旧版本中存在的类似(或相同)漏洞,因此可以允许攻击具有不受支持的Windows版本的设备(例如"零日攻击")。然而,微软已停止在不受支持的Windows版本中修复此类(和其他)漏洞,无论这些漏洞的广泛传播如何,这些漏洞都不固定,运行这些Windows版本的设备容易受到攻击。微软在 WannaCry 勒索软件迅速传播期间做了一个奇怪的例外,并于2017年5月发布了针对当时不支持的Windows XP,Windows 8和Windows Server 2003(除了当时支持的Windows版本)之外的补丁。 对于Windows Vista,"扩展支持"已于2017年4月11日结束,这将使之后发现的漏洞保持不固定,从而为Vista创建与之前相同的情况。 对于Windows 7(带有Service Pack 1),支持将于2020年1月14日和2023年1月10日结束,对于Windows 8.1, 这将导致这些操作系统的用户出现相同的"未修复的漏洞"问题。对Windows 8的支持已于2016年1月12日结束(用户必须安装Windows 8.1或Windows 10以继续获得支持),并且对不带SP1的Windows 7的支持已于2013年4月9日结束(能够安装SP1以继续获得支持直到2020年,或者必须安装Windows 8.1或Windows 10才能在2020年之后获得支持。) 随着 Windows 10 的推出,一个重大变化是微软开始每年两次发布新版本的Windows 10,并且随着微软的"现代系统生命周期政策",新发布的Windows 10版本开始了以前版本的"宽限期"。 关于支持 - 不同于以前只通过Service ...
如果這樣還是無法說服你,你真的不想立即更新當白老鼠的話,至少請按照下列原則來更新
  • 大更新:可以稍等一下,例如 iOS 12 到 iOS 13,這種大版號的更新,比較多是功能新增或界面調整,比較容易發生大家擔心的舊軟體相容性或操作界面改變等問題。真的不想馬上更新,可以等一陣子,出了新的小改版(例如 iOS 13.1 版)時再更新;
  • 小更新:如 iOS 13.1 到 iOS 13.2 等的小改版,多半是安全漏洞修補。這類的小更新不太會增加什麼翻天覆地的新功能,也不太會造成舊軟體相容問題,所以只要推出了,就應立即更新。
下一篇文章,我們再來談另外五個也很重要的資安自保技巧。
分享至
成為作者繼續創作的動力吧!
© 2024 vocus All rights reserved.