我的一个朋友今天问我有关数字行为的卫生问题。 我将尝试简要概述这些原则,然后按照这些原则来提高网络上的安全级别。
在本文中,我尝试从完全平庸的建议转变为难以实施的建议。 每个人都必须自己决定自己可以接受的安全级别。 一切都和保险箱一样:有一个一百美元的保险箱,有一个十万美元的保险箱。 在第一笔中保留数百万美元,在第二笔中保留一些小东西是愚蠢的。
如果您拥有重要的信息,并且害怕丢失它,而仅仅以为这些信息可能到达您的敌人就会吓到您,那么您应该考虑信息安全。
好吧,在不花钱的情况下认真对待数据保护是在浪费时间。
安全原则
如果您想保护自己的信息,那么您要做的第一件事就是了解基本原理。
如果您有信息安全方面的经验,请大胆地跳到下一章。
可以在凯文·米特尼克(Kevin Mitnik)的书《欺骗的艺术》中找到有关此问题的最大信息。 关于公司由于未向员工传授保护其信息的基本原则而遇到的问题的报道很多。
但是,如果您仍然给出一些通用的提示,那么它们将像这样:
- 请勿使用简单密码:可能与您关联或在词典中找到的密码。
- 请勿对不同的服务使用相同的密码。
- 不要以明文形式存储密码(它显示了Yandex索引的Google文档的最新历史记录)。
- 不要告诉任何人密码。 甚至支持人员。
- 不要使用免费的Wi-Fi网络。 并且,如果您使用它,请当心,不要在没有https连接的网站上工作。
您将从书中学到更多。 那里描述了许多有趣的故事,尽管其中有些故事由于进步而已经过时,但本质本身不可能永远不再相关。
“谁需要我?”
在数据保护方面,人们经常会问这样的问题。 诸如:“为什么公司需要我的数据?” 或“为什么黑客会破解我?” 不了解他们不能被黑客入侵。 该服务本身可能会被黑客入侵,并且所有在系统中注册的用户都会受到影响。 也就是说,不仅要遵守信息安全规则,而且要选择合适的工具,这一点很重要。 为了更加清楚,我将举几个例子:
当有点加重就在几天前,我们都了解到位于Google Play和Apple Store上的Burger King应用程序会记录用户所做的一切。 汉堡王的代表告诉我们,绝对没有匿名数据。 从字面上看,所有内容都会记录下来:用户输入名字,姓氏,地址甚至信用卡信息的方式。 视频始终被记录。
您是否认为这是唯一捕获您在其中所做的一切的应用程序?
AppSee我在一家软件公司工作。 我们有几个案例。
2016年2月,一个带有移动应用程序的客户来找我们,要求在此添加一些功能。
我们查看了代码,发现使用了名为AppSee的分析工具。 他们要求客户访问它,他回答说他本人不知道它来自何处,也无法访问它。 我们与支持人员进行了很长时间的交谈,并花费了大量时间来恢复访问权限。 他们看到以前的开发人员设置了AppSee来录制某些屏幕上的视频。 有些屏幕是用户输入信用卡或贝宝数据的屏幕。
加密密码第二种情况是,当一个客户来到我们这里进行一个相当大的项目时,大约有200万注册用户。 我们开始工作,客户让我们可以访问代码和数据库。 并且在数据库中所有用户密码都是未加密的形式。
我认为您理解如果基地落入坏人之手会带来什么后果。
您确定使用的所有服务对安全性都非常敏感,不会合并数据,并且永远不会对您使用数据吗? 我不确定
最糟糕的是:如果密码存储服务(如1password,LastPass)无法安全存储密码,该怎么办? 如果它们泄漏怎么办? 就个人而言,我什至不敢考虑。
可能的解决方案
我如何看待出路? 我认为这是开源的。
使用开放源代码应用程序,您将获得一大利弊。 缺点是缺乏支持,所有风险仅由您自己决定。 优点是没有其他链接可以存储您的数据:您可以排除此链接丢失,出售或破坏您的数据的可能性。 当然,开放源代码本身并不是万能药,并且不能保证开发人员不会在代码中添加任何不良内容。 只有那些拥有大型社区的项目才值得信任。
接下来,我将谈谈我个人使用的内容。
我知道任何开始谈论哪个更好的话题:mac或win,win或linux都陷入了徒劳的辩论。 请不要这样做。
操作系统只是一个工具。 专业人士不太可能会认为使用螺丝刀或锤子会更好。 对于每种情况,他们都会找到最合适的工具。 让我们以相同的方式对待操作系统和其他软件。
密码管理员
首先不是偶然的。 毕竟,这是您安全中最重要的部分。 一切都存储在这里。 而且,由于无法使用密码管理器,您会遇到很多问题。
如前所述,我不知道如果我所有的密码泄漏都会怎样。 因此,我使用通行证。 这是一个终端程序,您可以在其中以加密形式存储密码。
它适用于所有操作系统。 有适用于iOS和Android的应用程序。 还有用于Chrome和Firefox的插件。
该程序是完全开放和免费的,使用免费的GPG库。 它使用您的GPG密钥加密每条记录。 我认为,这是最安全的选择。
作业系统
我认为,最安全的是开源操作系统。 有很多。 您可以从最简单的安装和使用开始-Ubuntu。 但就我个人而言,我并不喜欢它,因为它具有各种服务,例如人气竞赛,可将一些数据发送给开发人员。
此外,Ubunta已经使用所谓的“间谍搜索”(最高版本16.04)破坏了它的声誉。
我个人选择了arch linux,尽管安装起来比较困难。 尽管有很多类似物,但我不能说它们更糟。
智能手机
我认为LineageOS是一个出色的开源操作系统。 它非常稳定并且经常更新。 现在它是一个非常新的Android 8.1.0,可以正常工作。 安装后不要忘记锁定引导程序。
与免费的OS一起使用时,我建议使用名为F-Droid的免费软件商店。
考虑一下如何解锁智能手机。
我认为,解锁不是一种非常可靠的方法,存在很多问题。
指纹识别也是一种颇有争议的方法。 实际上,如果您不信任Google或Apple并且不使用其操作系统,但同时使用指纹来解锁手机,则可以认为指纹已经受到破坏。 而且您不能再使用指纹来保护重要的东西。
档案储存
我在服务器上使用NextCloud而不是Google Drive或Dropbox。 有几个优点。
- 安全性 我确定没有其他人可以访问我的数据。 即使出现,也将加密NextCloud上的所有数据。 与Dropbox一样,它具有适用于所有操作系统(包括移动操作系统)的客户端。
- 灵活性。 我可以使用所需的存储量。 我可以轻松制作100GB和20TB。
- 外挂程式 NextCloud提供了一些非常方便的加载项。 如笔记,日历,任务管理器。 所有这些都是同步的,并且还可以在智能手机上使用。
浏览器
可能与前面的段落相同。 最好使用开源浏览器:Firefox,Chromium,Brave,Icecat。 就易用性和其他特性而言,它们不亚于相同的铬。
搜索引擎
我真的不喜欢搜索引擎对我了解太多的事实。 以下是Google了解您的一些示例。
myactivity.google.com/myactivitymaps.google.com/locationhistoryadssettings.google.com/authenticated?hl=zh-CN我必须说Google非常擅长于外观。 很少有免费的类似物会尊重您的隐私。 实际上,只有DuckDuckGo看起来并不完美。
即时加密
像TrueCrypt这样的程序可以让您即时加密信息。
TrueCrypt本身被认为是完整磁盘加密或容器创建的最可靠方法。 但是在这里,只有开发人员发布了一条消息,他们建议所有用户切换到Bitlocker。 在此消息中,社区看到了所谓的“金丝雀证词”,即试图说些什么而不说什么,并暗示他们的in昧。 由于开发人员总是嘲笑Bitlocker。
另外,一些用户想分叉该项目。 但是TrueCrypt作者简短而简洁地回答:“很抱歉,但是我认为您是在要求不可能。 我认为TrueCrypt叉不是一个好主意。”
基于此,我认为TrueCrypt及其所有类似物VeraCrypt都不安全。
我不知道其他类似物。 尽管我听说过《古墓》,但我一直想尝试一下,但是我的手没伸开。 如果您可以提供建议,请在评论中写。
重要补充
加密整个磁盘您是否知道如果丢失笔记本电脑并发现坏人会发生什么情况? 他将使用任何可启动的USB闪存驱动器将其打开,并悄悄地访问您的所有数据。
因此,加密整个磁盘非常重要。 这样一来,如果您丢失了设备,一个人将无法访问它。
进行备份(并加密)同样,重要的是不要自己丢失所有数据。 因此,请进行备份。 并确保对其进行加密。 好吧,当然不要将备份存储在同一媒体上。
跟踪访问出售设备时,请不要忘记从帐户中删除它们。 这很重要。
myaccount.google.com/device-activitywww.dropbox.com/account/securitywww.icloud.com/#settings跟踪您的应用程序和插件所需的访问级别。
在某些情况下,安装应用程序时,它需要对Dropbox文件夹的完全访问权限。 尽管似乎该应用程序根本不需要这种访问。 好吧,在极端情况下,访问类型:“ App文件夹”对他而言就足够了。 可以在此处检查Dropbox的此类内容:
www.dropbox.com/account/connected_apps某些应用程序需要访问Google云端硬盘。 我不太明白为什么他们需要访问我的文档。 可以在以下链接中检查:
myaccount.google.com/permissions两因素验证尽可能使用两因素身份验证。 这是非常有效的额外安全层。 它们有几种类型。
- 时间同步密码。 我认为,这是最常见,安全和最成功的两因素身份验证选项之一。 系统会显示您需要使用该应用程序拍摄的QR码,并且会看到一行带有一次性密码的行,该行每30秒更改一次。 我建议您以某种方式存储这些QR码的图片,或使用可以将数据库与您的记录一起导出的应用程序。
- 硬件密钥FIDO U2F。 我认为,这也是一个不错的选择,但我有些困惑。 例如,尚不清楚如果该键断开并且只是停止工作该怎么办。 尽管如此,这是一种技术,任何技术都无法突破。 而且,我不明白如果我丢了该怎么办。
- 如果没有别的,一次性密码列表是不错的选择。 此选项的问题在于,用户通常会将密码和一次性密码列表存储在一个位置。
- 短信认证。 我绝对不喜欢这种方法,尽管某些服务有时仅提供此功能,但有时还是不起作用,因此我尽量不使用它。 问题是有很多方法可以获取您的电话号码。