10 個自我保護、避免駭侵攻擊的方法（上篇）

施典志 Tenz

2020/10/19閱讀時間約 8 分鐘

本文相關 Podcast 節目

https://link.chtbl.com/feGNRVC6

在上一篇文章中，我們花了很多篇幅，介紹各種駭侵攻擊的樣態；本篇會從個人用戶的角度，為各位介紹十種方法，讓大家能夠最大限度的保護自己，避免成為駭侵受害者。

由於文章過長，所以分成上下兩篇；本篇先講前面五個方法。

1. 建立正確的資安觀念

首先，正確的觀念和知識，絕對是保護自己的第一道防線。

以下是一些必須建立，而且人人都應該知道的資安觀念：

沒有絕對安全的手機或電腦；
任何人的資料都有價值，而且可以當跳板；駭客不會因為你是普通人，就輕易放過你；
充分的資訊與認知是自保的必要條件，平時多留意資安相關訊息，了解最新威脅來源和保護做法，對你絕對有好處。

2. 採用比較安全的作業系統與防毒防駭軟體

雖然上面說了，沒有絕對安全的手機或電腦，但是有相對比較安全的系統：

電腦：先不談得自行安裝的 Linux，以主流的消費型電腦來看，Mac 就比 Windows PC 相對安全得多。Mac 的系統漏洞與駭侵攻擊也是有，但以量和影響規模來看，Windows 的漏洞和駭侵攻擊遠比 Mac 嚴重得多——根據專門匯集各種資安漏洞資訊的 CVE Details 網站統計，2019 年發現的 Windows 10 嚴重資安漏洞（7分以上，最嚴重的滿分為 10 分）計有 198 個，而 Mac OS X 則為 55 個。
行動裝置：採用 iOS 的 iPhone、iPad，在系統漏洞、惡意軟體與駭侵攻擊的量和影響程度上，也普遍勝過 Android 機種。同樣看 CVE Details 的漏洞統計，iOS 在 2019 發現的 7 分以上嚴重漏洞為 29 個，相對的 Android 則有 91 個。

不只是作業系統本身會有漏洞，App 也會有。由於作業系統的架構不同，各平台 App 的安全漏洞與影響規模也有差別。以行動 App 來說，根據一份統計指出，iOS 上有 38% 的 App 曾被發現存在高危險資安漏洞，而 Android App 有 43%。

總之，採用 Mac/iOS 平台的用戶，遭到駭客透過資安漏洞進行駭侵攻擊的機率，會比 Windows/Android 平台用戶要少。

如果你因為某些原因，必須使用相對比較危險的 Windows 或 Android，請務必安裝優良大廠出品的防毒防駭軟體，而且經常更新系統，以即時修補層出不窮的各種系統與軟體漏洞。

然後，一定要有防火牆，不管是軟體的還是硬體的，通通打開就對了。很多惡意軟體是先感染機構中的某台電腦，然後透過內部網路到處傳播；現在不管 Windows 還是 Mac 系統都內建防火牆，可以擋掉相當多的奇怪連線，一定要記得打開。

3. 用密碼管理工具管好你的密碼

什麼叫做管好密碼？就三件事。前兩件事其實大家都知道，就是：

盡量使用又長又臭又複雜的密碼，例如大小寫字母、數字、特殊符號的隨意組合，更不要用生日、身分證字號等個資，以免被駭客輕鬆用字典攻擊、社交工程或暴力嘗試法輕鬆破解；
不要在不同的服務間重複使用相同的密碼。

然而，這兩件事非常反人性。又長又臭又複雜的密碼，就是很難記住；不同服務又得使用不同的密碼，要去正確記住哪個服務用哪組密碼，大多數人也都做不到。

於是第三件事就顯得更重要，可以一次幫你輕鬆做好前兩件事：善用密碼管理工具。

密碼管理工具的妙用很多：

幫你產生複雜密碼：很多密碼管理工具都能隨機產生各種複雜密碼的組合，不用自己生；
幫你記住不同服務使用的密碼：當你逛到某個需要密碼的網站或服務時，會自動記住你註冊時使用的密碼，並且在需要密碼時幫你自動輸入；
利用主要密碼管理所有密碼：這樣你就只要記一組主要密碼，需要其他密碼時，輸入主密碼即可；
以一個身分認證機制管理所有密碼：有些設備上有面孔或指紋辨識，密碼管理工具可以整合這些更安全的身分認證機制，要輸入密碼時只要辨認一下面孔或指紋，即可自動輸入帳密，你就連那一組主要密碼也不用記了。

如果你還沒開始用密碼管理工具，建議你現在，馬上，立刻去用。好用的工具還不少，像是 Apple 平台上有個 Keychain Access（鑰匙圈存取），在 Mac 和 iOS 裝置上能透過 iCloud 同步密碼，所以能在 Mac 上和 iPhone、iPad 上輕鬆管理密碼。

Google 也做了類似的服務「Google 密碼管理器」，在 Google 生態圈的各項產品，如 Android 手機、Chrome 瀏覽器等也可通用。

也有不錯的第三方工具，可以跨平台使用，例如 1Password 或 LastPass 等。功能大同小異。

4. 啟用雙重認證

如果你的服務有雙重認證功能，不要廢話，打開來啟用就對了。

雙重認證是在帳號和密碼之外的多一層保障，即使輸入了帳號和密碼，在某些場合下（例如偵測到使用不同的瀏覽器、未曾登入過的手機等裝置），會需要多一道登入認證手續，能將帳號被盜用的難度再拉高一些。

常用的雙重認證機制是透過簡訊認證，利用簡訊傳送一組隨機產生的認證密碼，到你登錄的手機門號；登入時必須正確輸入這組認證碼才行，不然就無法成功登入。很多服務都有這項利用簡訊的雙重認證選項。

但是利用簡訊的雙重認證，也不是沒有風險；能取得你的手機門號使用權的人，就能 pass 簡訊認證。先前在美國發生過一件事：Twitter CEO Jack Dorsey 的手機 SIM 卡被人利用一種叫做「SIM Swap」的技巧冒領，結果他自己的 Twitter 帳號就被成功盜走了：

我猜可能是美國的手機門市比較沒在查驗用戶身分，所以駭客騙門市人員說自己的 SIM 卡掉了，不費吹灰之力就拿到燒有 Jack Dorsey 手機門號的新 SIM 卡，輕鬆繞過簡訊驗證關卡。

台灣政府要求手機門市人員一定要驗雙證件，才能辦理各種門號異動手續，因此簡訊驗證的安全性，可能會比美國高一點也說不定。

如果信不過簡訊驗證，也可以採用「認證碼產生器」，例如 Facebook App 就有內建「代碼產生器」，可以用來進行臉書相關功能的雙重認證；Google 還出了一個獨立的認證碼 App，叫做「Google Authenticator」，很多第三方服務也都提供透過 Google Authenticator 進行雙重認證的選項。

Google Authenticator 的使用方法，有很多教學文章，請各位自行搜尋，這裡就不贅述了。

5. 隨時更新系統與軟體，修補已知漏洞

很多人就是不愛更新作業系統或軟體，大家總有各種各樣的理由。

有的人怕原本慣用的軟體，在系統更新後就不能用了（確實可能）、有些人覺得系統更新後會掉資料（這很少發生）；有些人純粹只是害怕慣用的使用方法被迫改變。

但從資安角度看，有更新卻不更新，這絕對不是好事；因為作業系統和軟體必定有漏洞，廠商推出的各種更新，特別是定期發行的小更新，多半都是為了修補漏洞而出。如果你不裝，就等於放著現成的漏洞不補，等人家來破台。

像是微軟和某些軟體服務商，每個月都有個俗稱「Patch Tuesday」的例行性更新；通常會在每月第二個星期二，固定會推出一大堆產品的更新修補。只要你不要去關掉系統的自動更新，已被發現的漏洞就會即時自動修補好。

如果這樣還是無法說服你，你真的不想立即更新當白老鼠的話，至少請按照下列原則來更新

大更新：可以稍等一下，例如 iOS 12 到 iOS 13，這種大版號的更新，比較多是功能新增或界面調整，比較容易發生大家擔心的舊軟體相容性或操作界面改變等問題。真的不想馬上更新，可以等一陣子，出了新的小改版（例如 iOS 13.1 版）時再更新；
小更新：如 iOS 13.1 到 iOS 13.2 等的小改版，多半是安全漏洞修補。這類的小更新不太會增加什麼翻天覆地的新功能，也不太會造成舊軟體相容問題，所以只要推出了，就應立即更新。

下一篇文章，我們再來談另外五個也很重要的資安自保技巧。

為什麼會看到廣告

175會員