互联网可以是可怕的地方。威胁有多种形式,实际上潜伏在任何角落。更糟糕的是,昨天的持续安全在线的普遍建议 - 避免狡猾的网站,不要在被盗或非法货物中交通,只与你所知道的人互动 - 不再拥有。来自假设家庭成员的网络钓鱼电子邮件,捎带合法应用程序,着名的网站被劫持的恶意代码 - 数字安全显然需要新的规则来满足今天的不断发展的威胁景观。
考虑到我们的数字生活有多少是在网上发生的——通信、金融交易、娱乐、工作、教育,等等,只要采取一些安全的浏览做法,就能带来广泛的好处。这也包括我们如何处理电子邮件消息,考虑到电子邮件是如何流行的一种传递机制,利用利用工具包和恶意软件进行在线攻击。
在这里,我们提供了在线安全的战略指导,概述了您可以做些什么来保护您的数据和隐私,同时仍然有效。
了解您的威胁配置文件
有了这么多威胁迫在眉睫,通过锁定一切,采取最严格的方法是诱人的,但挑战是以一种让您富有成效的方式平衡预防措施。例如,为了避免恶意javascript,您只需在浏览器首选项中关闭JavaScript - 除了互联网的一半将变得几乎无法使用。没有JavaScript打开,你有没有尝试使用gmail?这并不愉快。
我们使用网络的方式各不相同,风险也各不相同,这取决于我们在哪里,我们在做什么,甚至是今天是什么日子。安全研究人员保持网络安全的方式与通过电子邮件、使用Facebook和观看Netflix的消费者截然不同。这与开发者下载新工具和经常在论坛上寻求建议是不同的。
在基本层面上,你应该定期更新所有应用程序——不仅仅是操作系统,而是所有应用程序,尤其是你的浏览器。如果你的浏览器没有主动为你做这件事,你也应该将浏览器偏好转换为点击播放。您还应该在计算机上停用ActiveX并卸载Java客户端。除非您正在使用急需Java的客户机应用程序,如游戏或某些教育产品,否则您可能不再需要Java了。甚至主要的视频会议应用程序也在转向纯HTML5。
你还应该考虑组合聚会地点和活动。例如,在公共无线网络上进行敏感交易可能会给你带来麻烦。你最喜欢的咖啡店的公共Wi-Fi不是网上银行的地方。即使你使用SSL连接也不行;中间人攻击是仍有可能通过SSL。
一旦你有那些基础,你需要考虑你最担心的危险,你想要保护的资产,你经常与他们互动,以及存储的数据。在以下部分中,我们分解了这些问题,以帮助您对您的安全浏览实践与您的威胁宽容相匹配 - 您愿意在线生活的威胁水平。
威胁级别1:请不要恶意软件
大多数人,尤其是企业,都希望不惜一切代价避免恶意软件。两种最常见的载体是下载恶意软件的链接和“驱动下载”(drive-by-downloads),即通过加载网页自动下载恶意软件。危险的链接可以在网页、电子邮件或即时通讯工具中找到。骗子们经常利用社交网络和网址缩短器来传播伪装的恶意链接,希望有人点击。
第一个行动:停止点击链接。这需要社会训练,而且很难坚持,特别是考虑到我们一直发送的所有链接,无论是专业的还是个人的。如果你经常联系的人打算发送链接,让他们提前通知你——并且只有在得到肯定确认后才发送链接。或者,让人们确认他们确实是通过其他渠道发送链接的。例如,给你的兄弟发短信,问他账号上的链接是否真的来自他。这听起来可能有点偏执,但是最近的谷歌Docs骗局成功是因为人们认为恶意文件来自他们信任的人。一定要输入你自己的链接,如果有人给你发送了一个看起来很酷的白皮书的链接,直接去源代码,自己在网站上寻找白皮书。
专家提示:将浏览器设置为询问文档应该保存在何处,这样当有文件被下载时,您总是能够意识到。“驾车下载”依赖于潜行,所以用户甚至没有意识到正在发生什么。配置您的安全软件扫描所有文件下载。
威胁等级2:我也不喜欢间谍软件
一个攻击攻击浏览器的攻击者可以揭示各种信息。在这里,浏览器附加组件不一定是您的朋友。谨慎使用它们,因为它们可以成为恶意软件的无法预料的送货机制。定期检查扩展名单(Chrome://扩展在Chrome,关于:Addons.看看是否有什么不熟悉或无法解释的地方。禁用看起来可疑的东西很少会出问题。还要注意那些试图诱使你安装浏览器扩展的网页——例如,“点击‘添加’以加快网站速度”或其他一些欺骗性提示。
第一个行动:对于个人创建的浏览器插件要格外小心,因为他们可能访问没有HTTPS的网站。即使是专业人士也在挣扎:最近,广泛使用的密码管理器的发明者LastPass不得不修复其浏览器扩展中的一些严重漏洞。问问你自己,附加设备带来的便利是否超过了潜在的风险,尤其是如果你在一个月后发现它没有价值的话。
专家提示:总是考虑来源。如果你需要下载Flash或adobereader,可以从Adobe的网站上下载。不要从无关的网站上下载这些工具,因为很容易被间谍软件、广告软件和其他恶意文件带进下载。不要搜索“免费PDF转换器”,然后下载最先出现的内容。(你真的需要吗?Chrome会自动将页面转换为PDF, Office目前也有很好的PDF支持。)等项目portableapps.com.和Ninite提供自动获取和更新可信源的公共开源和自由应用程序的方便方法。
威胁级别3:无论如何都没有跟踪
它发生在我们所有人身上:在浏览Homedepot.com上的地板瓷砖后,在互联网上到处都会出现家居装修广告。广告商依靠Cookie在线跟随您在线跟随您,并根据您的活动提供广告。但这不仅仅是广告。网站使用cookie记住您的帐户,密码和浏览历史记录,并在其网站上跟踪您的活动。当您禁用和清除您减少个人数据的Cookie时,网络犯罪分子可以获得。
第一个行动:在线时使用隐私浏览或隐身模式。在这里,当您的会话结束时,cookies和浏览历史不会被保留。你可以启动隐身模式,粘贴一个URL(你确定不会给恶意软件),并导航到页面,完全确定你没有被跟踪。如果你想在Chrome上保持匿名,请添加隐身在Chrome属性的目标命令的末尾,你将在隐身模式,无论何时你启动Chrome。你也可以通过关于:config..
专家提示:如果你想使用Facebook、Twitter或其他社交账户,但又不想让登录账号一直跟踪你,可以在Chrome、Firefox或Safari中创建一个单独的用户配置文件,专门为该社交网络保留一个。在那里登陆,只在那里,在那里使用,也只在那里使用。这将与该登录相关的数据量限制为您绝对需要的数据量。这一技术对于减少使用社交网络作为单点登录提供商的网站的跟踪也很有用,比如Spotify。
如果你担心跟踪,你应该在你使用的每个浏览器上启用“不要跟踪”。DNT并没有强制执行——它只是告诉网站,你要求不要被跟踪。这取决于你访问的网站是否尊重这一要求。许多网站都不严谨,也不能保证你访问的网站会尊重你的请求,但至少事先说清楚你的喜好不会有什么坏处。
威胁等级4:脱掉我的信息
Cookies是网络犯罪分子的主要目标,因为它们包含的信息,尤其是电子邮件、账户名和密码。即使是在模糊的情况下,这些信息也可能被恶意利用。跨站脚本攻击使用JavaScript在网页上提取用户详细信息和会话信息,并在网上模拟它们,跨站请求伪造攻击使用会话会话cookie伪造其他网站的请求。
第一个行动:只要有可能,就封锁cookie。虽然屏蔽第一方和第三方cookie和禁用会话cookie都很好,但它使基本的网页浏览,如电子邮件和社交网络几乎不可能。你至少应该阻止第三方cookie,你应该考虑定期删除你的浏览器历史记录。
此外,不要让浏览器存储密码。这很方便,但很难保证所存储的密码的安全性。用一个独立密码管理器例如1Password或KeePass。
专家提示:对于搜索,请使用诸如DuckDuckGo等安全搜索引擎,该引擎不会存储计算机自动传输的信息,例如您的IP地址和其他数字身份。DuckDuckGo无法根据以前的搜索或位置自动完成搜索查询,但这是一个小的代价,因为它也无法将搜索历史链接给您。
如果你想把你的信息留给自己,私人浏览是你的朋友。如果没有保存cookie,就没有什么可偷的了。在每次浏览器会话后删除所有cookie是个好主意。你将不得不登录网站与每个新的会议,因为他们不会知道你是谁。这是另一个用于建立不同用户会话的用例,在这个用例中,您为特定的登录创建会话,并将该登录的cookie限制为该用户会话。
虽然有些附加组件可能是危险的,但也有一些是好的——例如,断开连接,它可以阻止第三方跟踪cookie。该扩展可以阻止社交媒体账户跟踪浏览历史,并让用户能够控制网站上的脚本。另一个值得拥有的扩展,ghostery,阻止常见的跟踪脚本,但如果需要的话,允许您对依赖它们的网站进行白名单。
威胁等级:不要察觉我
网络钓鱼网站是欺诈性网站,旨在窃取个人信息。这不仅限于电子邮件或银行网站的登录凭据。网络钓鱼网站可以使竞争者化妆,并要求您的SSN。网络钓鱼攻击还可以将受害者重定向到伪料网站,其中下载恶意代码,恶意软件收集敏感信息。我们看到各地的潜在网络钓鱼攻击,因此我们的自然倾向是不要点击任何链接。
第一个行动:不要点击电子邮件中收到的链接或打开的附件,更不要在收到的表格中填写敏感信息。联邦快递的申报单可能是假的。拿起电话,打电话给联邦快递,核实情况。不要点击邮件中的链接,因为邮件看上去像是人力资源部门在提醒你假期余额。直接去人力资源网站看看哪里出了问题。输入url有助于捕捉一些技巧,比如使用0(0)而不是anO(信)或神经网络而不是m,或者地址类似于paypal.com.someothersite.com.在浏览器的地址栏中键入公司网站的可信URL,以绕过电子邮件或即时消息的链接。
专家提示:仅在使用HTTPS的网站上提供个人信息。请记住,对于Let’s Encrypt和其他免费SSL证书来源,仅仅一个挂锁图标已经不够了。查找EV证书——实体的名称应该显示在浏览器栏中。的HTTPS Everywhere扩展来自电子前沿基金会(Electronic Frontier Foundation)的网站也是一个不错的选择,因为它迫使网站通过HTTPS传输流量。
如果你收到商家发来的电子邮件——比如特价或折扣——看看是否可以选择以文本形式而不是HTML形式发送电子邮件。这样就更容易看到给定链接的内容。
难以检测所有网络钓鱼尝试 - 有些非常好。确保不要为您的帐户使用相同的密码,以便被盗一个并不意味着所有其他都受到损害。使用password manager为每个站点帐户生成离散密码。尝试将个人互联网与工作互联网分开,从未使用您的工作地址注册网站。如果该帐户受到损害,则您不希望它导致对您的工作地址的网络钓鱼攻击。当一个站点支持它时,打开双因素身份验证,以使攻击者更难以使用被盗凭证 - 特别是如果该网站是金融机构。
威胁等级6:核保护