无论是个人用户还是企业,网络安全都是一个不容忽视的话题,但网络安全信息具有很强的及时性。今天采取的安全措施是有用的,明天可能不起作用。
互联网上充斥着许多关于网络安全和隐私保护的问题“野知识”,这些知识可能是从古代书籍上传到网络上的,也可能是从个人经验中吸取的一些错误教训。
一些公众沉迷于这些方法。他们认为这些方法是有效的,可以保护他们的账户不被盗。他们有一些保护网络安全的知识,甚至成为一些公司的制度。
误解1:定期修改密码
1960费尔南多,著名的计算机科学家·科尔巴托将“密码”密码安全已经成为网民的噩梦,正如他自己所承认的,但我们也必须承认,这是一个伟大的进步。
从那时起,关于如何使用、保存和更改网络密码的各种建议,或者与密码相关的公司系统一直在传播。
技术水平的限制决定了我们如何管理我们的密码。例如,在互联网的早期阶段,密码系统限制了字符的数量和类型。密码不能包含各种符号。为了方便记忆,用户使用短密码是非常常见的,这导致许多平台需要用户“定期修改密码”的现象。
现代操作系统和安全系统使设置短密码和定期修改密码过时。然而,个人用户可能会使用短密码来设置计算机登录密码。一些银行和电子商务网站的服务系统也使用短密码。这些安全系统可能是由于软件设计差或攻击跨站脚本SQL注入的恐惧必须限制密码的设置。
这种限制无疑会降低密码的复杂性和安全性。
如果密码系统没有限制,我们应该设置足够长、复杂和容易记住的密码,而不是定期更改短密码,这只会使密码更难记住。
误区二:不使用双因子验证
一般来说,有三种不同类型的证明可以证明一个人的身份:
- 只有你知道别人不知道的信息,比如密码
- 手机号码、身份证等个人物品
- 指纹、人脸、虹膜等个人生物信息
双因子验证是指需要满足两个因素才能通过请求的方法。最常见的双因子验证,如网上银行U盾,用户只能插上U同时输入密码登录网上银行。
另一个例子是在不常用的手机上登录微信时,在输入手机验证码的同时,也可能需要朋友的帮助验证,或者用旧手机的微信扫描代码。
在输入密码时,许多国内网站还要求用户提供双因子验证的短信验证码。
许多人认为双因素验证是不安全的,如容易被中间人攻击、钓鱼等。由于成本、用户体验等因素,不使用或强迫用户使用双因素验证是非常错误的。
事实上,不使用双因子验证的隐含成本远远高于使用双因子验证的成本。对于黑客暴力破解普通云服务,90%的双因子验证会失败,10%只会导致潜在的可恢复拒绝服务。
除了以上两种,你见过哪些看似安全的做法,其实没用?