网络安全

1. 对于企业而言,信息安全是技术人员的工作。

普通员工如果不注重安全很容易被突破。内网安全往往是由非技术人员的疏忽造成的。

2. 良好的上网习惯,不乱下文件,不点开奇怪的文件,不上奇怪的网站,个人电脑就不会中病毒。

15年前,从尼姆达病毒起,病毒和木马就已经具有了主动攻击性,他们根本不需要你点击和打开,会主动在网段内扫描和入侵有缺陷的主机。

3. 装好杀毒软件,打好补丁,就不会被入侵被黑掉。

0day攻击可以轻松穿透杀毒软件和打好最新补丁的系统。在安全漏洞没有被系统厂商发现,或者被发现但安全补丁没有发布之前,这段时间,基于这个安全漏洞的攻击,就统称为0day,所以0day实际上不是一种技术形式,而是一种时间的概念,未公开的漏洞是广泛的,长期存在的。

4. 我输入可信的网站地址,访问的网站一定是安全的。

DNS劫持可能让你即便输入了正确的网址,也会进入错误的网站。DNS劫持是一种常见网络安全风险,但其实这里并不只有一种攻击途径,有很多途径可以劫持。从你的主机开始,病毒木马可能会改写你的电脑的host文件,或者改写浏览器的钩子,导致你访问的目标网址被导向其控制者的手里。如果你的主机是安全的,不能保证你邻居会不会用arp欺骗来干扰你。

5. 百度,新浪这种公司是安全的,所以我在这里的帐号也是安全的。

彩虹库和撞库攻击屡屡突破巨头防线。

撞库攻击:由于很多用户习惯在多个网站用同样的帐号和密码,所以一旦A网站的用户密码透露,有经验的黑客会去尝试用同样的帐号密码去b网站尝试,这就是所谓撞库攻击,新浪也好,百度也好,很多巨头都饱受撞库攻击的侵扰,而且很多帐号密码因此被泄露。

应对策略:不同网站密码保持不同;或者对高安全需求的网站强化密码。

6. 我的密码很复杂,别人一定不会破解。

获取你的权限,其实未必需要你的密码,通过找回密码来暴力破解的以前非常常见。以前很多邮局都是有通过生日和回答问题来重设密码,通过程序暴力破解生日(最多5分钟)+猜测问题,是攻破很多小姑娘邮箱的绝招。腾讯出过一个案例,以手机短信验证码来重设密码,但短信密码只有4位数字,暴力破解只需要9999次,程序员轻松搞定。

应对策略:验证码,而且是变态的验证码是防止程序暴力测试的重要方案。