安全的用網(wǎng)行為

前面 2 節(jié)安全講的主要是針對(duì)架構(gòu)和開發(fā)方面，這節(jié)主要針對(duì)我們?nèi)粘Ｉ钪袘?yīng)該注意的一些安全注意點(diǎn)。安全并不僅僅是因?yàn)檐浖┒磳?dǎo)致，很大程度是因?yàn)槿藶橐蛩貙?dǎo)致。

1. 簡介

黑客一次完整的攻擊過程主要會(huì)經(jīng)歷下面幾個(gè)步驟：

信息收集是整個(gè)流程的第一步，也是很重要的一步，因?yàn)槿绻苯邮占叫孤┑馁~號(hào)密碼，那么下面的幾個(gè)步驟甚至都可以略過了。如果收集到目標(biāo)服務(wù)器的 IP 地址，就可以用工具掃描，檢測(cè)該服務(wù)器的漏洞等。下面將介紹信息泄露的主要場(chǎng)景和防護(hù)。

2. 賬號(hào)安全

我們每個(gè)人的賬號(hào)都一大堆，有很大一部分人的賬號(hào)和密碼都是一樣的，因?yàn)闆]辦法平臺(tái)太多了，如果設(shè)置不同很容易忘記也很不方便。

2.1 時(shí)效性

要時(shí)不時(shí)的更改自己重要系統(tǒng)的密碼，可以用帶有古詩文的信息方便自己記憶。比如，有一部分密碼是固定不變的，另一部分動(dòng)態(tài)的每隔 3 個(gè)月更換一次，例如用 cqmyg（床前明月光），下一次用 ysdss（疑是地上霜）。

2.2 不要隨便注冊(cè)賬號(hào)

沒有絕對(duì)信任的網(wǎng)站不要隨便注冊(cè)，如果不得已的話也不要跟自己的重要賬號(hào)的密碼設(shè)置一樣。這種網(wǎng)站一方面可能是不法分子故意用來盜取信息的，另一方面不是正規(guī)機(jī)構(gòu)的網(wǎng)站安全性比較差，即使網(wǎng)站運(yùn)營者無意，也可能被人攻破后竊取信息。

2.3 密碼復(fù)雜度

不要設(shè)置太簡單或者太常見的密碼，不然容易被暴力破解，要有英文，字符，數(shù)字的搭配組合。

3. 軟件安全

3.1 軟件需要從可信任的應(yīng)用商城下載

無論是手機(jī)，還是電腦都不要隨意安全不信任的軟件，因?yàn)楹芏噙@種軟件即使功能正常使用，但是里面其實(shí)被黑客破解修改過，植入了木馬病毒之類的程序。

3.2 應(yīng)用權(quán)限

手機(jī)軟件安全的時(shí)候經(jīng)常會(huì)詢問是否允許 app 獲得某些權(quán)限，不是必要的權(quán)限不要開啟，比如訪問手機(jī)短信之類敏感行為。

4. 社會(huì)工程學(xué)

社會(huì)工程學(xué)主要是利用人性的弱點(diǎn)，套取搜集對(duì)黑客有價(jià)值的信息。

4.1 主要泄漏信息

• IP 地址，物理地址
• 網(wǎng)站后臺(tái)訪問地址，密碼信息
• 家庭成員信息，電話信息
• 生日（很多人的秘密是生日日期）
• 公司信息，同事信息

4.2 經(jīng)典騙取方式

冒充公司領(lǐng)導(dǎo)

• 打電話
• 郵件

故意接近

• 跟你做朋友
• 美人計(jì)
• 假意請(qǐng)求幫助
• 假裝面試

5. 信息綜合搜索

信息的搜集往往不是單一的，是由類似上面列舉的很多方式的組合。我們經(jīng)常聽到一個(gè)詞 人肉搜索，大家都很驚訝網(wǎng)絡(luò)神人技術(shù)太強(qiáng)，其實(shí)主要還是因?yàn)槲覀兩⒉荚诰W(wǎng)上的資料信息太多了。這些零碎的資料拼一拼還是能獲得很全的信息的。

1. 搜索引擎隨便輸入你的名字，或者外加幾個(gè)關(guān)鍵詞
   • 可能查到你在哪所學(xué)校，參加了某某活動(dòng)，獲得了某某名次的獎(jiǎng)勵(lì)
   • 你在哪所公司，繳交的一些社保信息
2. 你在某個(gè)網(wǎng)站的評(píng)論
   • 根據(jù)你的昵稱到 QQ 上面搜索，同一個(gè)昵稱到處用概率還是很大的，如果有手機(jī)號(hào)那就更加準(zhǔn)確了，緊接著可以根據(jù)你的 QQ 空間獲取更多你私人的信息。（這以前是非常好查的，現(xiàn)在騰訊也一直在完善信息安全這塊）
   • 也可能是到其他平臺(tái)去搜索：微博，頭條，人人網(wǎng)，58同城 等
3. 照片網(wǎng)上搜索相似
   • 百度搜索引擎就有根據(jù)圖片搜索到功能
4. 到政府的一些網(wǎng)站，如 信用xx ，上面根據(jù)法人名字也能搜索不少有價(jià)值的東西。

6. 總結(jié)

說到安全防護(hù)，大部分人都還是停留在防火、防電、防水的場(chǎng)景，可如今我們手機(jī)不離身，吃喝住行全部需要網(wǎng)絡(luò)，自媒體等資訊爆炸性井噴，所以網(wǎng)絡(luò)安全更需要引起注重?？梢愿鶕?jù)上面列舉的場(chǎng)景自己排查是否存在類似的問題，及時(shí)的撤銷網(wǎng)上遺留的不安全信息碎片，并在日常中遵守安全的用網(wǎng)行為。