Updated: Nov 14, 2015 @ 03:56

安全问题往往发生一次损失之后才被重视。就像有过丢东西的经历后,切肤之痛,然后开始注意财产的安全。现在我们的生活都依赖大量电子设备,其中保存的数据也是你的财产的一部分,丢失或者被入侵之后损失往往比实物的损失更大。

密码的维护

密码需要注意选择强密码。所谓强密码可以注意几点:

  1. 跟你本人的信息没有任何关联,比如不要使用个人的生日、名字、地址之类信息作为密码。
  2. 混合大小写、数字和字母。
  3. 长度在 8 位以上,理论上密码越长越安全
  4. 在不同的互联网服务上使用不同的密码,(一个比较好的方案是手动添加跟服务相关的部分作为密码),这样可以保证某一个服务的密码泄露后其他服务还是安全的。
  5. 对自己的密码进行分级,比如不重要的场合使用低级别的密码,重要的场合使用高级别密码。
  6. 定期更新。

秘钥的维护

现在很多人尤其是互联网开发者都需要在很多地方使用 SSH key 之类的秘钥。这个跟密码的维护类似,对不同的服务进行分级处理;然后定期更新秘钥。

常用互联网服务账户的维护

开启这些服务的高级安全功能,常见服务的高级安全功能的开启如下:

Gmail – 可能是安全做的最好的服务之一,提供了很多相关安全功能,但是需要自己开启这些功能

  1. 使用强密码
  2. 开启 2 Step 登陆,绑定自己的手机后,每次登陆 Gmail 都会在手机上收到一个验证码。这样即使密码泄露,没有拿到你的手机,其他人也不能进入你的 Gmail 邮箱。
  3. 绑定密码找回备用邮箱和手机号码。以防自己丢失密码。
  4. 开启登陆提醒,这样能在异常登陆的时候收到提醒,Gmail 会发送相关到你的手机和备用邮箱中。
  5. 假如密码泄露或者设备丢失后,尽快修改密码,Gmail 也会自动将这些浏览器上的已经登陆的账号退出。

Dropbox – 非常流行的数据备份服务

  1. Dropbox 也提供 Two-step verification, 需要自己手动开启。你可以选择手机短信验证的方式或者使用 Google Authenticator 手机应用的验证码。
  2. 定期查阅 https://www.dropbox.com/account#security 上的登陆记录和绑定的第三方应用。
  3. 如果你的电脑丢失,可以在 Dropbox 的这个页面 unlink 那台设备,这样那台设备只要联网就会自动退出停止数据同步。

Evernote – 非常流行的记事本

像 Dropbox 、Gmail 一样,Evernote 也提供两部式登陆验证,需要自己开启。

iPhone, iMac 和 MacBook – 相信很多人都在用,尤其是程序员或者互联网人士

这些设备的丢失,更重要的是内部存储的数据的安全。
使用 iPhone 和其他 Apple 设备一定要在 iCloud 上开启 Find My iPhone,Find My Mac 功能,因为它不只能帮你找回手机的位置,还能帮你清除手机上的数据或者锁定手机防止信息泄露。这个选项默认并没有开启。

另外 Mac 提供了对数据加密的选项,可以选择性开启。风险是假如自己忘记密码,数据将永久性丢失。

Github 和其他服务,一般都提供 2 步验证,需要定期更新 ssh key 保证安全。

微信、微博、Facebook、QQ – 用得很广泛的社交软件

假如密码丢失,及时更改密码,并通知亲友,以防模仿你进行诈骗。

互联网服务公司的注意事项

假如做云服务或者面向大众的数据服务,应该注意哪些问题呢?

  1. API 必须启用 HTTPS 加密
  2. 高级加密算法,注意行业动态,避免过时的加密算法,因为硬件的速度突飞猛进,现在有效的算法,过 5 – 10 年后也许就不起作用了。
  3. 2 Step 登陆验证,这个已经成了大部分流行互联网服务的必备功能。
  4. 用户登陆和使用记录,定期提醒用户更新密码
  5. 可以允许强制用户退出已经登陆的页面
  6. 内部数据存储和接触的安全性,内部的安全审计记录,任何人接触敏感数据都要留下安全日志以备风险发现和信息泄漏后的审计。
  7. 发生安全事故后,及时通知用户维护自己的安全信息。并且做相应补偿。(比如可以参照 Talktalk 遭遇入侵后的补偿页面:http://www.talktalk.co.uk/customerupgrade/)

如何改善安全问题呢?

回顾最近一段时间爆发的安全事件:

  1. Redis 漏洞爆发,几万台服务器上的数据被清除并被控制。
  2. Talktalk 遭遇黑客入侵。
  3. 每时每刻都在发生的手机丢失、电脑设备丢失事件。

针对互联网企业的安全、针对个人的安全方案有很大的改进空间:

比如,个人维护大量的密码、秘钥、网络服务账号是一件非常头疼的事情,在密码泄露或者设备丢失后的密码更改更加头疼。
又比如,现在中小企业越来越多的依赖网络服务,甚至提供网络服务,但是安全层面还停留在非常低级的阶段。
虽然现在已经有大量的安全相关服务和方案,但是并没有被广泛采用,大部分方案带来的问题比解决的问题更多。简单易用的安全服务有很大的前景。比如类似 2 step 验证这样简单易用的过程还不多。

相关链接:

推荐这些相关文章

订阅这个博客:

关注我的微博:

关注我的推特: