博客 / 詳情

返回

讀捍衞隱私01雙因素認證

讀捍衞隱私01雙因素認證

1. 隱私的假象

1.1. 普通美國人也陷入了“後9·11搜索網”​(post-9/11 dragnet)中

  • 1.1.1. 原本是為阻止外國恐怖分子而設計的,現在卻監視着幾乎每一個美國人

1.2. 我們生活在隱私的假象之中,而且可能已經這樣生活了幾十年

1.3. 在數字監控狀態中,生活的危險其實並不在於數據被收集(我們對此幾乎無能為力)​,而是在於這些數據被收集之後用來做什麼

1.4. 現今的數據有時候是斷章取義地從背景中收集的,而所有的數據都是永生的

1.5. 隱私很複雜,它不是用一種方法就能解決所有問題的命題

  • 1.5.1. 我們都有不同的理由與陌生人自由地分享一些關於自己的信息,並對我們生活的其他部分保密

1.6. 隱私是一種個人選擇,隱身的程度也是,所以最後的選擇因人而異

2. 必須設置一個強密碼

2.1. 為了保護你的iCloud和其他網絡賬號,你必須設置一個強密碼(strong password)​

2.2. 除了與你工作相關的密碼之外,還要注意那些保護你最私人的賬號的密碼

2.3. 即使選擇一個難以猜測的密碼,也無法阻擋oclHashcat(一種利用圖形處理器即GPU進行高速破解的密碼破解工具)這樣的黑客工具破解你的密碼,但這會讓破解過程變得很慢,足以使攻擊者轉向更容易的目標

2.4. 最常見的是“123456”​“12345”​“password”​“DEFAULT”​“123456789”​“qwe rty”​“12345678”​“abc123”​“1234567”

2.5. 數字密碼管理器

  • 2.5.1. 最簡單的方法是放棄自己創造密碼,直接自動化這個過程

  • 2.5.2. Password Safe和KeePass,它們只會將數據儲存在你的本地計算機上

  • 2.5.3. 密碼管理器需要使用一個主密碼進行訪問

    • 2.5.3.1. 可以使用密碼管理器作為後門,獲取進入王國的鑰匙

  • 2.5.4. 如果丟失了主密碼,你就丟失了你所有的密碼

    • 2.5.4.1. 你可以隨時在每個網站上進行密碼重置,但如果你有很多賬號,操作起來就會非常麻煩

2.6. 使用很長的強密碼短語(strong passphrase)—至少有20個或至少有25個字符,而不是簡單的密碼

  • 2.6.1. 人類的大腦難以記憶隨機序列

  • 2.6.2. 使用密碼管理器比自己選擇密碼要好得多

2.7. 永遠不要為兩個不同的賬號使用相同的密碼

  • 2.7.1. 基本上做任何事都需要密碼,所以就讓密碼管理器來幫你生成和保存獨一無二的強密碼吧

2.8. John the Ripper和其他密碼破解可以使用規則集來排列密碼字符,從而非常有效地破解密碼

  • 2.8.1. 會嘗試參數設定之內的所有可能的數字、字母和符號組合,直到成功破解你的密碼

  • 2.8.2. 大多數人都不用對抗擁有近乎無限時間和資源的國家機關

  • 2.8.3. 更有可能要對抗配偶、親戚或某個我們真正惹惱了的人,而在面對一個有25個字符的密碼時,他們不會有時間和資源來成功破解

3. 密碼字符最好超過25位

3.1. 存儲在我們的計算機裏受保護的存儲器中的正是這種密碼哈希,而非密碼本身

3.2. 目標系統遭到破壞時攻擊者獲得的數據,或數據泄露發生時被泄露的數據也是密碼哈希

3.3. 最簡單和最常見的密碼也是最容易被破解的,然後隨着時間推移,更復雜的密碼也會被破解

3.4. 破解所需的時間長短取決於多種因素

  • 3.4.1. 如果同時使用密碼破解工具以及你泄露的用户名和哈希密碼,攻擊者也許可以通過嘗試與你的電子郵箱地址或其他身份標識相連接的其他網站的密碼,來獲取你的一個或多個賬號的權限

3.5. 你的密碼字符越多,John the Ripper等密碼猜測程序運行所有可能的變體所需的時間就越長

3.6. 隨着計算機處理器的速度越來越快,計算所有可能的6位甚至8位字符密碼的時間也變得越來越短

4. 在辦公室裏保護你的密碼甚至更加重要

4.1. 使用藍牙的鎖屏軟件可以驗證你是否在電腦旁邊

4.2. 創建密碼來保護網絡賬號和服務當然很好,但如果有人取得了你的物理設備,密碼也就無濟於事了,尤其是當你的網絡賬號處於開啓狀態時

4.3. 如果你只能用密碼保護一套設備,那就應該保護你的移動設備,因為這些設備是最容易丟失或被盜竊的

4.4. 如果你還沒用密碼保護你的移動設備,現在就花點時間把它設置好

4.5. 最常見的是鎖屏密碼,這是一串可以按特定順序輸入而解鎖手機的數字

4.6. 一些移動設備允許選擇基於文本的鎖屏密碼,再次強調:選擇至少7個字符

  • 4.6.1. 現代移動設備可以在同一屏幕上同時顯示數字和字母鍵,讓兩者之間的切換簡單了許多

4.7. 另一個鎖屏選項是圖案鎖

4.8. 生物識別鎖

  • 4.8.1. 一些攻破指紋掃描器的老方法對iPhone仍然有效,其中包括在乾淨的表面上使用嬰兒爽身粉和透明膠帶來獲取指紋

4.9. 其他手機可以使用內置攝像頭來對主人進行人臉識別

  • 4.9.1. 在攝像頭前面放一張主人的高分辨率照片,這種方法就會被破解

4.10. 如果某人將他自己加入到你的賬號中,你要立即刪除這個轉發電子郵箱地址

4.11. 設置安全問題

  • 4.11.1. 一個人在互聯網上花幾分鐘時間,就很可能回答出一個給定個人的所有安全問題

  • 4.11.2. 每次當你提供了創意答案時,一定要把問題和答案都寫下來,放在安全的地方(或者就用一個密碼管理器來保存你的問題和答案)​

5. 雙因素認證

5.1. 名人都使用iPhone手機,人們最早的猜測集中於一次大規模數據泄露,這次泄露影響到了蘋果公司的iCloud服務,而iCloud是iPhone用户的一個雲存儲選擇

5.2. 手機密碼破解軟件(Elcomsoft Phone Password Breaker,簡稱EPPB)是該論壇中被公開討論的工具之一,該工具的目的是讓執法機構和某些其他機構可以進入iPhone用户的iCloud賬號

5.3. 同時使用iBrute和EPPB,就可以冒充受害者本人將其所有云存儲的iPhone數據全部備份下載到另一台設備上

5.4. 用隱晦的方式把密碼寫下來

  • 5.4.1. 將這個不完整密碼的列表打印出來應該足以迷惑任何找到這個列表的人,至少一開始會迷惑他們

  • 5.4.2. 把密碼寫下來可能不是一種完美的方案,但忘掉那些不常用的強密碼也不好

5.5. 生物特徵識別方法本身很容易受到攻擊

  • 5.5.1. 理想情況下,生物特徵應該僅被用作一種認證因素

  • 5.5.2. 先滑動你的指尖或對着攝像頭微笑,然後輸入PIN碼或鎖屏密碼

    • 5.5.2.1. 這應該能保證你的移動設備的安全

5.6. 密碼和PIN碼是安全解決方案的一部分

5.7. 比複雜密碼更好的方法是雙因素認證(two-factor authentication)​

  • 5.7.1. 2FA

5.8. 當嘗試認證一位用户的身份時,網站或應用要查證3個東西中的至少2個

  • 5.8.1. 通常這些東西是指你擁有的東西、你知道的東西和你是誰

  • 5.8.2. ”你擁有的東西”可以是磁條式或芯片式的信用卡、借記卡

  • 5.8.3. ​“你知道的東西”往往是PIN碼或安全問題的答案

  • 5.8.4. “你是誰”包含了生物特徵識別—指紋掃描、面部識別、聲音識別等

  • 5.8.5. 這些東西越多,越能夠確定你就是你自稱的那個用户

5.9. 每當你使用ATM時,你就在使用2FA

  • 5.9.1. 你有一張銀行簽發的卡(你擁有的東西)和一個PIN碼(你知道的東西)。

5.10. MFA

  • 5.10.1. 多因素認證(multifactor authentication,簡稱MFA)。

5.11. 在網上也能實現類似的認證方法

  • 5.11.1. 很多金融、醫療機構、商業電子郵箱和社交媒體賬號都允許用户選擇2FA

  • 5.11.2. 你知道的東西是你的密碼,你擁有的東西是你的手機

5.12. 一旦你註冊了一台設備,就可以使用該設備繼續登錄該網站,多長時間都行,甚至將你的筆記本電腦或手機帶到另一個地方也無妨

  • 5.12.1. 除非你特別勾選了信任該計算機30天的選項(如果有的話)​,那樣你就會被提示輸入新的訪問代碼

5.13. 需要一台專門用於金融方面的次要設備,甚至醫療方面也是如此

6. 匿名電子郵箱

6.1. 即使你在計算機或手機上閲讀完電子郵件後將其刪除,那也不一定會真正刪除其內容

6.2. 如果你使用Gmail,通過你的Gmail郵箱發送和接收的每一封電子郵件的副本都會被保存在谷歌位於世界各地的多個服務器上

6.3. 第三方也可以出於其他目的訪問我們的電子郵件,而這些目的更加險惡,並且是為它們自己服務的

6.4. 原則上,大部分人都不願意讓其他任何人閲讀自己的郵件,除了我們期望的收件人外

6.5. 儘管大多數人可能會容忍為了檢測惡意軟件而掃描我們的電子郵件,也許有一些人還能忍受以廣告為目的的掃描,但讓第三方讀取我們對特定郵件中特定內容的反應和行為則是完全讓人不安的

6.6. 為了隱身,你必須使用公開可見的東西

7. 給你的郵件上鎖

7.1. 愷撒密碼(Caesay Cipher)就是一種非常簡單的加密方法,它是指將密碼中的每個字母替換成字母表中相距一定距離的字母

7.2. 大多數今天所使用的加密系統都比任何愷撒加密強大得多,因此要破解它們也就更加困難

7.3. 所有形式的加密都有一個共同點:需要密鑰,這可以用來鎖定和開啓加密信息

7.4. 如果使用同樣的密鑰來加鎖和解鎖加密信息,那就是一種對稱加密(symmetrical encryption)​

7.5. 非對稱加密(asymmetrical encryption)​

  • 7.5.1. 意味着我要生成兩個密鑰:一個保存在我的設備上並且永遠不會被共享出去的私鑰(private key)和一個我可以在互聯網上隨意張貼的公鑰(public key)​

  • 7.5.2. 兩個密鑰是不同的,但在數學上是相關的

7.6. 最流行的電子郵件加密方法是PGP(Pretty Good Privacy)​,這個簡寫表示“相當好的隱私”​

  • 7.6.1. PGP不是免費的,而是賽門鐵克公司的一款產品

7.7. OpenPGP,這是免費的

7.8. GPG(GNU Privacy Guard)​,它是由維爾納·科赫(Werner Koch)創造的,也是免費的

7.9. 三者是可以兼容的,這就意味着不管你使用的是哪個PGP版本,基本的功能都一樣

7.10. 電子郵件不是點對點的(point-to-point)​,也就是説一封電子郵件在到達目標收件人的收件箱之前,可能會經過世界各地的好幾台服務器

7.11. 當你的銀行主動打電話來,要求你提供社會保障號碼或賬户信息時,你就應該掛斷電話,然後自己打給銀行,因為你永遠不知道電話或電子郵件的另一邊是什麼人

網絡安全
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.