商務人士自我保護、避免資安攻擊的10個方法:上篇/施典志

世界上沒有「絕對安全」的手機或電腦;任何人的資料都有價值,即使資料真的沒有價值,也還可以當作跳板來攻擊他人。駭客不會因為你是「普通人」,就輕易放過你;大家都有正確的觀念與做法,才是個人與社會最大的資安保障。

筆者先前在〈小心!駭客,真的,就在你身邊〉一文中,花了很多篇幅介紹各種網路駭侵攻擊的樣態;本篇則從個人用戶的角度介紹10種方法,讓大家能夠最大限度的保護自己,避免成為受害者。

由於全部10點篇幅較長,所以分成上下兩篇;本篇先講前面五個方法。

1. 建立正確的資安觀念

首先,正確的觀念和知識,絕對是保護自己的第一道防線。

以下是一些必須建立,而且人人都應該知道的資安觀念:

  • 沒有「絕對安全」的手機或電腦;

  • 任何人的資料都有價值,而且可以當跳板;駭客不會因為你是普通人,就輕易放過你;

  • 充分的資訊與認知,是自保的必要條件;平時多留意資安相關訊息、瞭解最新的威脅來源和保護做法,對你絕對有好處。

2. 採用比較安全的作業系統與防毒防駭軟體

雖然上面說了,沒有絕對安全的手機或電腦,但是有相對比較安全的系統:

  • 電腦

先不談得自行安裝的 Linux;以主流的消費型電腦來看,Mac 就比 Windows PC 相對安全得多。

當然 Mac 上也有系統漏洞與駭侵攻擊,但以量和影響規模來看,Windows 的漏洞和駭侵攻擊遠比 Mac 嚴重得多——根據專門匯集各種資安漏洞資訊的 CVE Details 網站統計,2019 年發現的 Windows 10 嚴重資安漏洞(7分以上,最嚴重的滿分為 10 分)計有 198 個而 Mac OS X 則為 55 個

  • 行動裝置

採用 iOS 的 iPhone、iPad,在系統漏洞、惡意軟體與駭侵攻擊的量和影響程度上,也普遍勝過 Android 機種。同樣看 CVE Details 的漏洞統計,iOS 在 2019 發現的 7 分以上嚴重漏洞為 29 個,相對的 Android 則有 91 個

不只是作業系統本身會有漏洞,App 也會有。由於作業系統的架構不同,各平台 App 的安全漏洞與影響規模也有差別。

以行動 App 來說,根據一份統計指出,iOS 上有 38% 的 App 曾被發現存在高危險資安漏洞,而 Android App 有 43%。

Vulnerabilities and threats in mobile applications, 2019

Positive Technologies experts regularly perform security threats analysis of mobile applications. This research summarizes the findings of their work performing cyber security assessment of mobile apps for iOS and Android in 2018, most common vulnerabilities to mobile devices and prevention recommen…

總之,採用 Mac/iOS 平台的用戶,遭到駭客透過資安漏洞進行駭侵攻擊的機率,會比 Windows/Android 平台用戶要少。

如果你因為某些原因,必須使用相對比較危險的 Windows 或 Android,請務必安裝優良大廠出品的防毒防駭軟體、而且經常更新系統,以即時修補層出不窮的各種系統與軟體漏洞。

然後,一定要有防火牆;不管是軟體的還是硬體的,統統打開就對了。

很多惡意軟體是先感染機構中的某台電腦,然後透過內部網路到處傳播;現在不管 Windows 還是 Mac 系統,都內建了防火牆功能,可以擋掉相當多的奇怪連線,所以一定要記得打開。

3. 用密碼管理工具管好你的密碼

什麼叫做管好密碼?就三件事。前兩件事其實大家都知道,就是:

  1. 盡量使用又長又臭又複雜的密碼,例如大小寫字母、數字、特殊符號的隨意組合,更不要用生日、身分證字號等個資,以免被駭客輕鬆用字典攻擊、社交工程或暴力嘗試法輕鬆破解;

  2. 不要在不同的服務間重複使用相同的密碼。

然而,這兩件事非常違反人性。又長又臭又複雜的密碼,就是很難記住;不同服務又得使用不同的密碼,要去正確記住哪個服務用哪組密碼,大多數人也都做不到。

於是第三件事就顯得更重要,可以一次幫你輕鬆做好前兩件事:

3. 善用密碼管理工具。

密碼管理工具的妙用很多:

  • 幫你產生複雜密碼:很多密碼管理工具,都能隨機產生各種複雜密碼的組合,不用自己想出來;

  • 幫你記住不同服務使用的密碼:當你逛到某個需要密碼的網站或服務時,會自動記住你註冊時使用的密碼,並且在需要密碼時幫你自動輸入;

  • 利用主要密碼管理所有密碼:這樣你就只要記一組主要密碼,需要其他密碼時,輸入主密碼即可;

  • 以一個身分認證機制管理所有密碼:有些設備上有面孔或指紋辨識,密碼管理工具可以整合這些更安全的身分認證機制,要輸入密碼時只要辨認一下面孔或指紋,即可自動輸入帳密,你就連那一組主要密碼也不用記了。

如果你還沒開始用密碼管理工具,建議你現在,馬上,立刻去用。

好用的工具還不少,像是 Apple 平台上有個 Keychain Access(鑰匙圈存取),在 Mac 和 iOS 裝置上能透過 iCloud 同步密碼,所以能在 Mac 上和 iPhone、iPad 上輕鬆管理密碼。

設定「iCloud 鑰匙圈」

有了「iCloud 鑰匙圈」,就能將各個裝置中的密碼和其他安全資訊保持在最新狀態。

Google 也做了類似的服務「Google 密碼管理器」,在 Google 生態圈的各項產品,如 Android 手機、Chrome 瀏覽器等也可通用。

也有不錯的第三方工具,可以跨平台使用,例如 1PasswordLastPass 等;功能大同小異。

4. 啟用雙重認證

如果你的服務有「雙重認證」功能,打開來啟用就對了。

雙重認證是在帳號和密碼之外的多一層保障。即使輸入了帳號和密碼,在某些場合下(例如偵測到使用不同的瀏覽器、未曾登入過的手機等裝置),會需要多一道登入認證手續,能將帳號被盜用的難度再拉高一些。

常用的雙重認證機制是透過簡訊認證:利用簡訊,將一組隨機產生的認證密碼傳送到你登錄的手機門號;登入時必須正確輸入這組認證碼才行,不然就無法成功登入。很多網路服務都提供了這類利用簡訊的雙重認證選項。

但是利用簡訊的雙重認證,也不是沒有風險;能取得你的手機門號使用權的人,就能 pass 簡訊認證。

先前在美國發生過一件事:Twitter 執行長 Jack Dorsey 的手機 SIM 卡被人利用一種叫做「SIM Swap」的技巧冒領,結果他自己的 Twitter 帳號就被成功盜走了:

Here’s how the recent Twitter attacks probably happened and why they’re becoming more common

Scammers are increasingly using SIM swapping as a means of taking over phones and going after online accounts.

可能美國的手機門市在查驗用戶身分方面比較寬鬆,所以駭客騙門市人員自己的 SIM 卡掉了;於是不費吹灰之力,就拿到燒有 Jack Dorsey 手機門號的新 SIM 卡,輕鬆繞過簡訊驗證。

由於台灣政府要求手機門市人員一定要驗雙證件,才能辦理各種門號異動手續,所以或許因為如此,簡訊驗證的安全性會比美國高一點也說不定。

如果信不過簡訊驗證,也可以採用「認證碼產生器」,例如 Facebook App 就有內建「代碼產生器」,可以用來進行臉書相關功能的雙重認證。

Google 還出了一個獨立的認證碼 App,叫做「Google Authenticator」,很多第三方服務也都提供透過 Google Authenticator 進行雙重認證的選項。

5. 隨時更新系統與軟體,修補已知漏洞

很多人就是不愛更新作業系統或軟體,大家總有各種各樣的理由。

有的人怕原本慣用的軟體,在系統更新後就不能用了(確實可能)、有些人覺得系統更新後會掉資料(這很少發生);有些人純粹只是害怕慣用的使用方法被迫改變。

但從資安角度看,有更新卻不更新,這絕對不是好事;因為作業系統和軟體必定有漏洞,廠商推出的各種更新,特別是定期發行的小更新,多半都是為了修補漏洞而出。

如果你不裝,就等於放著現成的漏洞不補,等人家來破台。

像是微軟和某些軟體服務商,每個月都有個俗稱「Patch Tuesday」的例行性更新;通常會在每月第二個星期二,固定會推出一大堆產品的更新修補;只要你不要去關掉系統的自動更新,已被發現的漏洞就會即時自動修補好。

如果這樣還是無法說服你,或者你真的不想立即更新、當白老鼠的話,至少請按照下列原則來更新:

  • 大更新:可以稍等一下,例如 iOS 12 到 iOS 13,這種大版號的更新,比較多是功能新增或界面調整,比較容易發生大家擔心的舊軟體相容性或操作介面改變等問題。真的不想馬上更新,可以等一陣子,出了新的小改版(例如 iOS 13.1 版)時再更新;

  • 小更新:如 iOS 13.1 到 iOS 13.2 等的小改版,多半是安全漏洞修補。這類的小更新不太會增加什麼翻天覆地的新功能,也不太會造成舊軟體相容問題,所以只要推出了,就應立即更新。

在下一篇文章中,我們再繼續來談另外五個也很重要的資安自保技巧。

本文有聲版

https://soundcloud.com/tenz1225/7-10-ways-to-protect-yourself-from-hacked