安全從自身做起 - 設定密碼也是一門學問
自從詐騙意味濃厚的釣魚網站的出現後,便引起大眾對於防範被詐騙的警覺。像 Yahoo 這樣一個普及的入口網站,很早便推出了「安全圖章」這樣的防釣帳號措施,來幫助使用者辨識真正的 Yahoo 網站。但是沒了釣魚網站就安全了嗎?使用者的帳號密碼就安全了嗎?很遺憾的,實情是茫茫網海處處是有暗礁,稍不小心就會觸礁的。今天就借提發揮一下,來談談要怎麼 “安全駕駛”,哦!是安全上網。
一個能夠安全使用的網站,就技術上的觀點來說,網站設計者是要負起一些責任的。這裡我們僅從 SSL 加密技術作為引子,讓各位了解,網站有好網站、壞網站,也有神經大條的網站。
對於一個擁有帳號系統的網站來說,帳號登入網頁是一個很重要的門戶,使用者會在這裡輸入他的帳號與密碼,顯見這個門戶的安全性是相當的重要。通常這些網站都會採取 SSL 加密,簡單一點說,當你在登入網址的開頭看到 https,就代表它會採取加密的手段來傳遞你的帳號資料。這點相當的重要,因為這些資料在從你的電腦傳送到該網站的伺服器前,會經過相當多的網段,簡單一點說,就是會經手很多你想都沒想過的人(設備)。不過,很不幸的是,取得 SSL 加密認證是需要付費的,對於許多小網站、小論壇來說,不見得會花錢去購買這些 SSL 加密認證,所以,很多平日我們喜歡逛的論壇、網站,其實都潛藏著安全風險。
就跟防範釣魚網站一樣,如果我們自身有注意的話,自然可以降低這些風險。第一重要的,或許也是大家最常聽到的,就是「不要隨意在公共電腦或是公眾網路使用網路服務」。我好像講得太嚴重了點,像是 GMail、Yahoo! Mail 這類網站,其實都有在帳號登入時採取 SSL 加密技術,所以在公眾網路上使用,安全性上應該還不構成問題。最令人擔心的當然還是那些沒有使用 SSL 技術的網站。因此,第二點我會建議各位採取帳號密碼分級制。從網路銀行、Web Mail、論壇、個人 Blog,分成不同的重要等級,使用不同的帳號或是密碼。當然,假使記憶力超強的話,很常聽到的建議是「密碼都不要重複」,如果實在不行,至少要把那些不具有 SSL 加密的網站區分開來,這樣即使不小心被盜取了,也不至於影響到其他你個人重要的網站帳號密碼囉。
2 responses so far
> 對於許多小網站、小論壇來說,不見得會花錢去購買這些 SSL 加密認證
我記得某公司是有簽發給教育單位 (.edu, .edu.tw, .edu.xxx)的免費憑證,其他的沒有很仔細的去找。但若這些小網站的的主人對該伺服器有足夠掌控權,是可以自我簽發,某種程度上是達到SSL的效用。當然要達到相同的效果,至少還需要教育user怎麼認識該憑證是否真為站長所簽發,否則夠新的瀏覽器會「懷疑」這憑證的安全性。
> 或許也是大家最常聽到的,就是「不要隨意在公共電腦或是公眾網路使用網路服務」。
> 我好像講得太嚴重了點,像是 GMail、Yahoo! Mail 這類網站,其實都有在帳號登入時
> 採取 SSL 加密技術,所以在公眾網路上使用,安全性上應該還不構成問題
傳輸是否加密 與 端點安全性比起來,端點安全性的問題在現實中恐怕是更嚴重的。
SSL只能保障在傳輸過程中若被擷取,cracker不太容易去取得密碼。
但是若公用電腦已經有問題,例如之前的使用者安裝了測錄程式,密碼還是一樣會被擷取的。
> 傳輸是否加密 與 端點安全性比起來,端點安全性的問題在現實中恐怕是更嚴重的。
> SSL只能保障在傳輸過程中若被擷取,cracker不太容易去取得密碼。
> 但是若公用電腦已經有問題,例如之前的使用者安裝了測錄程式,密碼還是一樣會被擷取的。
的確, 公用電腦的問題很多, 所以沒是最好還是不要在公用電腦上登入自己的帳號密碼.
不過, 我指的”公眾網路”的情形比較像是, 今天妳帶了筆電到某間公司出差, 上網收 Mail, 或是在外使用無線網路的熱點服務, 像是機場, 等. 在這種情形下, 使用者個人的電腦是值得信任的, 但是免費或付費提供的無線 router 就不見得這麼值得信任了.