網站無法保護用戶。如何將虛擬安全納入自己的手中?
您可能會聽到網絡安全專家告訴您,您不應該訪問網站或關注鏈接或打開您不信任的電子郵件。但他們究竟是什麼意思“信任”呢?例如,您是否考慮過在註冊帳戶時特定服務提供商如何處理您的信息?
你們中的大多數人可能對黑客來說不是什麼好消息。如果更多的人意識到他們的隱私和安全處於危險之中,那麼更多的人會要求更好的防禦,而服務提供商除了提高他們的遊戲外別無選擇。相反,供應商並不關心,直到人們開始意識到事情有多糟糕已經為時已晚。以下是網站運營商的一些錯誤。
Table of Contents
HTTPS的採用率很低
HTTPS代表超文本傳輸協議安全 ,它最早於1994年推出。它是常規HTTP的演變 ,它加密了您的PC和您正在訪問的網站服務器之間流動的數據。雖然現在已有24年曆史,但仍有人不明白通過HTTPS提供信息的重要性。
除了擾亂您在線發布的用戶名,密碼和其他數據外,它還可以防止“中間人”改變您所看到的內容。如果連接不安全,從政府,通過您的ISP到騙子的任何人都可以修改頁面並向您發送廣告,誤導性信息甚至惡意軟件。
它應該已經成為很久以前的標準,但它仍然不是。事實上,直到2017年1月,加密網絡流量的數量才超過 HTTP中繼信息量。目前,估計超過70%的連接是安全的,但據安全專家Scott Helme稱,Alexa的前100萬個網站的一半 ,真正重要的網站,仍然通過普通的HTTP服務。
過去,網站的所有者,特別是較小的網站,都有一個有效的藉口。要通過HTTPS傳遞信息,您必須購買過去每年花費幾百美元的證書,並且必須確保在過期之前續訂。現在,感謝一個名為Let's Encrypt的組織,為您的網站建立安全連接既自由又簡單。
實際上,Let's Encrypt的免費證書對HTTPS的採用率產生了深遠的影響,但這顯然是不夠的,這就是幾週前谷歌推出其第68版Chrome瀏覽器並引入了一個小而重要的原因用戶界面調整。
過去,Chrome會在網址旁邊顯示綠色掛鎖,表示該網站是通過HTTPS提供的。如果連接不安全,只有在頁面上有登錄表單或信用卡字段時,瀏覽器才會顯示“不安全”警告. 從Chrome 68開始, 所有 HTTP網站都標記為“不安全”,綠色掛鎖現在已經消失,這清楚地表明了谷歌的意圖 - 消除全球HTTP網站並建立HTTPS作為常態。如果有人能做到這一點,那就是谷歌。
如您所見,許多網站仍然無法建立我們的信息可以通過的安全隧道。可悲的是,問題並沒有就此結束。
數據存儲失誤
大約一個月前,很明顯,一家名為Exactis的營銷公司已經收集了不少於3.4億人的真正恐怖數據。除了家庭住址和電子郵件之類的簡單內容之外,記錄還包括您是否有寵物,是否吸煙以及您是否喜歡棒球等。我們是如何發現Exactis收集了所有數據的?好吧,它留在公開面向互聯網的數據庫中,並且沒有受密碼保護 。
在Exactis和Equifax之間不可避免地會出現Parallels。這是因為兩個組織都負責處理大量數據,而且兩者都無法確保數據安全。不同之處在於,在Equifax的案例中,有證據表明犯罪分子實際上竊取了數據,而且這是一個未修補的Web應用程序,而不是一個暴露人們詳細信息的無保護數據庫。
當然,這只是兩個例子。還有很多其他組織由於疏忽而丟失或即將丟失用戶數據,而且真的很糟糕的是,沒有什麼可以告訴你一個網站是否比下一個更好。
在數據存儲方面,透明度實際上是一個非常大的問題。例如,在保持用戶密碼安全方面存在已知的好的和壞的做法 。然而,您能想到一個網站,在註冊帳戶時,您會讀到“您的密碼將在存儲之前使用bcrypt進行醃製和散列”嗎?沒有?我們也不是。
如果有一個既定的標準,每個人都遵循,但沒有一個,並且經常在攻擊者擊中後,事實證明你的密碼沒有正確存儲,並且你絕對沒有任何關係,那就不會那麼糟糕了。可以做到這一點。
鼓勵用戶不那麼安全
所有問題都源於這樣一個事實,即太多的網站運營商對網絡安全沒有積極的興趣。通常,他們實施某些功能和規則只是因為十年前,他們聽說這會讓你更安全。實際上,在過去的十年裡,有很多事情發生了變化,現在,他們無意中讓你做了一些危害你安全的事情,而不是更好地保護你。
以密碼到期策略為例。實際上,您更有可能在辦公室中找到它們,但是當您需要更改密碼時,仍然存在比必要規則更嚴格的網站。如果您不使用密碼管理器,忘記舊密碼並記住一個全新的密碼是一個嚴重的麻煩,這就是為什麼,你只需要一個簡單的密碼,每次你需要更改它,你只需添加一個“ 1“到它. 或者,或者你編譯一個選擇,比如說,你旋轉的五個密碼 - 這種做法完全否定了密碼到期規則的任何可能的積極影響。在過去幾年中,專家甚至英國的國家網絡安全中心(NCSC)一直在敦促網站和公司放棄密碼到期政策,因為它們根本不起作用。不幸的是,很多網站運營商似乎都沒有聽。
這可能是因為他們太忙於禁用密碼字段中的粘貼功能。為什麼這麼糟糕?眾所周知, Cyclonis Password Manager等專用密碼管理應用程序是在安全性和便利性方面處理所有登錄憑據的最佳方式。好的密碼管理員可以創建和記住複雜的,唯一的密碼,他們也可以在您需要時填寫它們。無粘貼規則會破壞自動填充功能。
這可能聽起來像是一個小小的不便,但實際上,您留下的替代方案是手動輸入長串的字母,數字和特殊字符,或依靠自己的大腦來創建和記憶密碼很可能會變弱。第一個選項不是很方便,第二個選項不是很安全。 NCSC的專家再次敦促網站停止這種做法,他們的請求再次被置若罔聞。
雖然我們仍處於密碼主題,但我們不能忽視有時會看到的奇怪的密碼要求。例如,我們已經看到禁止使用特殊字符的網站,還有那些允許您僅使用特定符號選擇的網站。
然而,長度要求是大多數網站災難性地失敗的地方。如果您要註冊一個帳戶並被迫創建長度少於十二個字符的密碼,您可能會非常想要考慮是否繼續註冊。類似的長度要求不僅會阻止您選擇足夠強的密碼,而且還可能表示密碼本身存儲不安全。
我們不能在不提及好的舊維基百科的情況下討論密碼長度要求。大多數網站都不允許您創建長度小於6或8個字符的密碼。如果這個數字更高,那將是很好的,但運營商顯然明白,讓用戶創建更長的密碼將導致很多挫敗感。使用維基百科,沒有這樣的問題。
根據Alexa和世界各地學生信任的朋友,世界上第五個最受歡迎的網站將允許您創建一個密碼長度為1個字符的帳戶。不,這不是一個錯字。如果你願意,可以自己去嘗試一下。只要確保不要讓帳戶長時間易受攻擊。
網站和服務提供商不足以保護您。你能為這個做什麼?
有人會說,當談到萬維網時,沒有完全保護這樣的東西。我們可以告訴你,有. 但是,我們還必須警告您,它涉及拔掉以太網電纜,關閉電腦,以及將公寓或房屋換成洞穴。
如果那不是你想要的道路,我們懷疑它可能不是,你可以做的只是將常識應用於你在互聯網上所做的一切。首先要改進密碼並儘可能啟用雙因素身份驗證。保留重要數據的備份,更新軟件,並確保保護您的計算機。最後但同樣重要的是,盡量不要分享太多的個人信息。畢竟,如果沒有在線提供的信息,黑客就不會妥協。
