网站无法保护用户。如何将虚拟安全纳入自己的手中?
您可能会听到网络安全专家告诉您,您不应该访问网站或关注链接或打开您不信任的电子邮件。但他们究竟是什么意思“信任”呢?例如,您是否考虑过在注册帐户时特定服务提供商如何处理您的信息?
你们中的大多数人可能对黑客来说不是什么好消息。如果更多的人意识到他们的隐私和安全处于危险之中,那么更多的人会要求更好的防御,而服务提供商除了提高他们的游戏外别无选择。相反,供应商并不关心,直到人们开始意识到事情有多糟糕已经为时已晚。以下是网站运营商的一些错误。
Table of Contents
HTTPS的采用率很低
HTTPS代表超文本传输协议安全 ,它最早于1994年推出。它是常规HTTP的演变 ,它加密了您的PC和您正在访问的网站服务器之间流动的数据。虽然现在已有24年历史,但仍有人不明白通过HTTPS提供信息的重要性。
除了扰乱您在线发布的用户名,密码和其他数据外,它还可以防止“中间人”改变您所看到的内容。如果连接不安全,从政府,通过您的ISP到骗子的任何人都可以修改页面并向您发送广告,误导性信息甚至恶意软件。
它应该已经成为很久以前的标准,但它仍然不是。事实上,直到2017年1月,加密网络流量的数量才超过 HTTP中继信息量。目前,估计超过70%的连接是安全的,但据安全专家Scott Helme称,Alexa的前100万个网站的一半 ,真正重要的网站,仍然通过普通的HTTP服务。
过去,网站的所有者,特别是较小的网站,都有一个有效的借口。要通过HTTPS传递信息,您必须购买过去每年花费几百美元的证书,并且必须确保在过期之前续订。现在,感谢一个名为Let's Encrypt的组织,为您的网站建立安全连接既自由又简单。
实际上,Let's Encrypt的免费证书对HTTPS的采用率产生了深远的影响,但这显然是不够的,这就是几周前谷歌推出其第68版Chrome浏览器并引入了一个小而重要的原因用户界面调整。
过去,Chrome会在网址旁边显示绿色挂锁,表示该网站是通过HTTPS提供的。如果连接不安全,只有在页面上有登录表单或信用卡字段时,浏览器才会显示“不安全”警告. 从Chrome 68开始, 所有 HTTP网站都标记为“不安全”,绿色挂锁现在已经消失,这清楚地表明了谷歌的意图 - 消除全球HTTP网站并建立HTTPS作为常态。如果有人能做到这一点,那就是谷歌。
如您所见,许多网站仍然无法建立我们的信息可以通过的安全隧道。可悲的是,问题并没有就此结束。
数据存储失误
大约一个月前,很明显,一家名为Exactis的营销公司已经收集了不少于3.4亿人的真正恐怖数据。除了家庭住址和电子邮件之类的简单内容之外,记录还包括您是否有宠物,是否吸烟以及您是否喜欢棒球等。我们是如何发现Exactis收集了所有数据的?好吧,它留在公开面向互联网的数据库中,并且没有受密码保护 。
在Exactis和Equifax之间不可避免地会出现Parallels。这是因为两个组织都负责处理大量数据,而且两者都无法确保数据安全。不同之处在于,在Equifax的案例中,有证据表明犯罪分子实际上窃取了数据,而且这是一个未修补的Web应用程序,而不是一个暴露人们详细信息的无保护数据库。
当然,这只是两个例子。还有很多其他组织由于疏忽而丢失或即将丢失用户数据,而且真的很糟糕的是,没有什么可以告诉你一个网站是否比下一个更好。
在数据存储方面,透明度实际上是一个非常大的问题。例如,在保持用户密码安全方面存在已知的好的和坏的做法 。然而,您能想到一个网站,在注册帐户时,您会读到“您的密码将在存储之前使用bcrypt进行腌制和散列”吗?没有?我们也不是。
如果有一个既定的标准,每个人都遵循,但没有一个,并且经常在攻击者击中后,事实证明你的密码没有正确存储,并且你绝对没有任何关系,那就不会那么糟糕了。可以做到这一点。
鼓励用户不那么安全
所有问题都源于这样一个事实,即太多的网站运营商对网络安全没有积极的兴趣。通常,他们实施某些功能和规则只是因为十年前,他们听说这会让你更安全。实际上,在过去的十年里,有很多事情发生了变化,现在,他们无意中让你做了一些危害你安全的事情,而不是更好地保护你。
以密码到期策略为例。实际上,您更有可能在办公室中找到它们,但是当您需要更改密码时,仍然存在比必要规则更严格的网站。如果您不使用密码管理器,忘记旧密码并记住一个全新的密码是一个严重的麻烦,这就是为什么,你只需要一个简单的密码,每次你需要更改它,你只需添加一个“ 1“到它. 或者,或者你编译一个选择,比如说,你旋转的五个密码 - 这种做法完全否定了密码到期规则的任何可能的积极影响。在过去几年中,专家甚至英国的国家网络安全中心(NCSC)一直在敦促网站和公司放弃密码到期政策,因为它们根本不起作用。不幸的是,很多网站运营商似乎都没有听。
这可能是因为他们太忙于禁用密码字段中的粘贴功能。为什么这么糟糕?众所周知, Cyclonis Password Manager等专用密码管理应用程序是在安全性和便利性方面处理所有登录凭据的最佳方式。好的密码管理员可以创建和记住复杂的,唯一的密码,他们也可以在您需要时填写它们。无粘贴规则会破坏自动填充功能。
这可能听起来像是一个小小的不便,但实际上,您留下的替代方案是手动输入长串的字母,数字和特殊字符,或依靠自己的大脑来创建和记忆密码很可能会变弱。第一个选项不是很方便,第二个选项不是很安全。 NCSC的专家再次敦促网站停止这种做法,他们的请求再次被置若罔闻。
虽然我们仍处于密码主题,但我们不能忽视有时会看到的奇怪的密码要求。例如,我们已经看到禁止使用特殊字符的网站,还有那些允许您仅使用特定符号选择的网站。
然而,长度要求是大多数网站灾难性地失败的地方。如果您要注册一个帐户并被迫创建长度少于十二个字符的密码,您可能会非常想要考虑是否继续注册。类似的长度要求不仅会阻止您选择足够强的密码,而且还可能表示密码本身存储不安全。
我们不能在不提及好的旧维基百科的情况下讨论密码长度要求。大多数网站都不允许您创建长度小于6或8个字符的密码。如果这个数字更高,那将是很好的,但运营商显然明白,让用户创建更长的密码将导致很多挫败感。使用维基百科,没有这样的问题。
根据Alexa和世界各地学生信任的朋友,世界上第五个最受欢迎的网站将允许您创建一个密码长度为1个字符的帐户。不,这不是一个错字。如果你愿意,可以自己去尝试一下。只要确保不要让帐户长时间易受攻击。
网站和服务提供商不足以保护您。你能为这个做什么?
有人会说,当谈到万维网时,没有完全保护这样的东西。我们可以告诉你,有. 但是,我们还必须警告您,它涉及拔掉以太网电缆,关闭电脑,以及将公寓或房屋换成洞穴。
如果那不是你想要的道路,我们怀疑它可能不是,你可以做的只是将常识应用于你在互联网上所做的一切。首先要改进密码并尽可能启用双因素身份验证。保留重要数据的备份,更新软件,并确保保护您的计算机。最后但同样重要的是,尽量不要分享太多的个人信息。毕竟,如果没有在线提供的信息,黑客就不会妥协。
