安全的用網行為

前面 2 節安全講的主要是針對架構和開發方面，這節主要針對我們日常生活中應該注意的一些安全注意點。安全并不僅僅是因為軟件漏洞導致，很大程度是因為人為因素導致。

1. 簡介

黑客一次完整的攻擊過程主要會經歷下面幾個步驟：

信息收集是整個流程的第一步，也是很重要的一步，因為如果直接收集到泄漏的賬號密碼，那么下面的幾個步驟甚至都可以略過了。如果收集到目標服務器的 IP 地址，就可以用工具掃描，檢測該服務器的漏洞等。下面將介紹信息泄露的主要場景和防護。

2. 賬號安全

我們每個人的賬號都一大堆，有很大一部分人的賬號和密碼都是一樣的，因為沒辦法平臺太多了，如果設置不同很容易忘記也很不方便。

2.1 時效性

要時不時的更改自己重要系統的密碼，可以用帶有古詩文的信息方便自己記憶。比如，有一部分密碼是固定不變的，另一部分動態的每隔 3 個月更換一次，例如用 cqmyg（床前明月光），下一次用 ysdss（疑是地上霜）。

2.2 不要隨便注冊賬號

沒有絕對信任的網站不要隨便注冊，如果不得已的話也不要跟自己的重要賬號的密碼設置一樣。這種網站一方面可能是不法分子故意用來盜取信息的，另一方面不是正規機構的網站安全性比較差，即使網站運營者無意，也可能被人攻破后竊取信息。

2.3 密碼復雜度

不要設置太簡單或者太常見的密碼，不然容易被暴力破解，要有英文，字符，數字的搭配組合。

3. 軟件安全

3.1 軟件需要從可信任的應用商城下載

無論是手機，還是電腦都不要隨意安全不信任的軟件，因為很多這種軟件即使功能正常使用，但是里面其實被黑客破解修改過，植入了木馬病毒之類的程序。

3.2 應用權限

手機軟件安全的時候經常會詢問是否允許 app 獲得某些權限，不是必要的權限不要開啟，比如訪問手機短信之類敏感行為。

4. 社會工程學

社會工程學主要是利用人性的弱點，套取搜集對黑客有價值的信息。

4.1 主要泄漏信息

• IP 地址，物理地址
• 網站后臺訪問地址，密碼信息
• 家庭成員信息，電話信息
• 生日（很多人的秘密是生日日期）
• 公司信息，同事信息

4.2 經典騙取方式

冒充公司領導

• 打電話
• 郵件

故意接近

• 跟你做朋友
• 美人計
• 假意請求幫助
• 假裝面試

5. 信息綜合搜索

信息的搜集往往不是單一的，是由類似上面列舉的很多方式的組合。我們經常聽到一個詞 人肉搜索，大家都很驚訝網絡神人技術太強，其實主要還是因為我們散布在網上的資料信息太多了。這些零碎的資料拼一拼還是能獲得很全的信息的。

1. 搜索引擎隨便輸入你的名字，或者外加幾個關鍵詞
   • 可能查到你在哪所學校，參加了某某活動，獲得了某某名次的獎勵
   • 你在哪所公司，繳交的一些社保信息
2. 你在某個網站的評論
   • 根據你的昵稱到 QQ 上面搜索，同一個昵稱到處用概率還是很大的，如果有手機號那就更加準確了，緊接著可以根據你的 QQ 空間獲取更多你私人的信息。（這以前是非常好查的，現在騰訊也一直在完善信息安全這塊）
   • 也可能是到其他平臺去搜索：微博，頭條，人人網，58同城 等
3. 照片網上搜索相似
   • 百度搜索引擎就有根據圖片搜索到功能
4. 到政府的一些網站，如 信用xx ，上面根據法人名字也能搜索不少有價值的東西。

6. 總結

說到安全防護，大部分人都還是停留在防火、防電、防水的場景，可如今我們手機不離身，吃喝住行全部需要網絡，自媒體等資訊爆炸性井噴，所以網絡安全更需要引起注重?？梢愿鶕厦媪信e的場景自己排查是否存在類似的問題，及時的撤銷網上遺留的不安全信息碎片，并在日常中遵守安全的用網行為。