读捍卫隐私01双因素认证

读捍卫隐私01双因素认证

1. 隐私的假象

1.1. 普通美国人也陷入了“后9·11搜索网”​(post-9/11 dragnet)中

  • 1.1.1. 原本是为阻止外国恐怖分子而设计的,现在却监视着几乎每一个美国人

1.2. 我们生活在隐私的假象之中,而且可能已经这样生活了几十年

1.3. 在数字监控状态中,生活的危险其实并不在于数据被收集(我们对此几乎无能为力)​,而是在于这些数据被收集之后用来做什么

1.4. 现今的数据有时候是断章取义地从背景中收集的,而所有的数据都是永生的

1.5. 隐私很复杂,它不是用一种方法就能解决所有问题的命题

  • 1.5.1. 我们都有不同的理由与陌生人自由地分享一些关于自己的信息,并对我们生活的其他部分保密

1.6. 隐私是一种个人选择,隐身的程度也是,所以最后的选择因人而异

2. 必须设置一个强密码

2.1. 为了保护你的iCloud和其他网络账号,你必须设置一个强密码(strong password)​

2.2. 除了与你工作相关的密码之外,还要注意那些保护你最私人的账号的密码

2.3. 即使选择一个难以猜测的密码,也无法阻挡oclHashcat(一种利用图形处理器即GPU进行高速破解的密码破解工具)这样的黑客工具破解你的密码,但这会让破解过程变得很慢,足以使攻击者转向更容易的目标

2.4. 最常见的是“123456”​“12345”​“password”​“DEFAULT”​“123456789”​“qwe rty”​“12345678”​“abc123”​“1234567”

2.5. 数字密码管理器

  • 2.5.1. 最简单的方法是放弃自己创造密码,直接自动化这个过程

  • 2.5.2. Password Safe和KeePass,它们只会将数据储存在你的本地计算机上

  • 2.5.3. 密码管理器需要使用一个主密码进行访问

    • 2.5.3.1. 可以使用密码管理器作为后门,获取进入王国的钥匙

  • 2.5.4. 如果丢失了主密码,你就丢失了你所有的密码

    • 2.5.4.1. 你可以随时在每个网站上进行密码重置,但如果你有很多账号,操作起来就会非常麻烦

2.6. 使用很长的强密码短语(strong passphrase)—至少有20个或至少有25个字符,而不是简单的密码

  • 2.6.1. 人类的大脑难以记忆随机序列

  • 2.6.2. 使用密码管理器比自己选择密码要好得多

2.7. 永远不要为两个不同的账号使用相同的密码

  • 2.7.1. 基本上做任何事都需要密码,所以就让密码管理器来帮你生成和保存独一无二的强密码吧

2.8. John the Ripper和其他密码破解可以使用规则集来排列密码字符,从而非常有效地破解密码

  • 2.8.1. 会尝试参数设定之内的所有可能的数字、字母和符号组合,直到成功破解你的密码

  • 2.8.2. 大多数人都不用对抗拥有近乎无限时间和资源的国家机关

  • 2.8.3. 更有可能要对抗配偶、亲戚或某个我们真正惹恼了的人,而在面对一个有25个字符的密码时,他们不会有时间和资源来成功破解

3. 密码字符最好超过25位

3.1. 存储在我们的计算机里受保护的存储器中的正是这种密码哈希,而非密码本身

3.2. 目标系统遭到破坏时攻击者获得的数据,或数据泄露发生时被泄露的数据也是密码哈希

3.3. 最简单和最常见的密码也是最容易被破解的,然后随着时间推移,更复杂的密码也会被破解

3.4. 破解所需的时间长短取决于多种因素

  • 3.4.1. 如果同时使用密码破解工具以及你泄露的用户名和哈希密码,攻击者也许可以通过尝试与你的电子邮箱地址或其他身份标识相连接的其他网站的密码,来获取你的一个或多个账号的权限

3.5. 你的密码字符越多,John the Ripper等密码猜测程序运行所有可能的变体所需的时间就越长

3.6. 随着计算机处理器的速度越来越快,计算所有可能的6位甚至8位字符密码的时间也变得越来越短

4. 在办公室里保护你的密码甚至更加重要

4.1. 使用蓝牙的锁屏软件可以验证你是否在电脑旁边

4.2. 创建密码来保护网络账号和服务当然很好,但如果有人取得了你的物理设备,密码也就无济于事了,尤其是当你的网络账号处于开启状态时

4.3. 如果你只能用密码保护一套设备,那就应该保护你的移动设备,因为这些设备是最容易丢失或被盗窃的

4.4. 如果你还没用密码保护你的移动设备,现在就花点时间把它设置好

4.5. 最常见的是锁屏密码,这是一串可以按特定顺序输入而解锁手机的数字

4.6. 一些移动设备允许选择基于文本的锁屏密码,再次强调:选择至少7个字符

  • 4.6.1. 现代移动设备可以在同一屏幕上同时显示数字和字母键,让两者之间的切换简单了许多

4.7. 另一个锁屏选项是图案锁

4.8. 生物识别锁

  • 4.8.1. 一些攻破指纹扫描器的老方法对iPhone仍然有效,其中包括在干净的表面上使用婴儿爽身粉和透明胶带来获取指纹

4.9. 其他手机可以使用内置摄像头来对主人进行人脸识别

  • 4.9.1. 在摄像头前面放一张主人的高分辨率照片,这种方法就会被破解

4.10. 如果某人将他自己加入到你的账号中,你要立即删除这个转发电子邮箱地址

4.11. 设置安全问题

  • 4.11.1. 一个人在互联网上花几分钟时间,就很可能回答出一个给定个人的所有安全问题

  • 4.11.2. 每次当你提供了创意答案时,一定要把问题和答案都写下来,放在安全的地方(或者就用一个密码管理器来保存你的问题和答案)​

5. 双因素认证

5.1. 名人都使用iPhone手机,人们最早的猜测集中于一次大规模数据泄露,这次泄露影响到了苹果公司的iCloud服务,而iCloud是iPhone用户的一个云存储选择

5.2. 手机密码破解软件(Elcomsoft Phone Password Breaker,简称EPPB)是该论坛中被公开讨论的工具之一,该工具的目的是让执法机构和某些其他机构可以进入iPhone用户的iCloud账号

5.3. 同时使用iBrute和EPPB,就可以冒充受害者本人将其所有云存储的iPhone数据全部备份下载到另一台设备上

5.4. 用隐晦的方式把密码写下来

  • 5.4.1. 将这个不完整密码的列表打印出来应该足以迷惑任何找到这个列表的人,至少一开始会迷惑他们

  • 5.4.2. 把密码写下来可能不是一种完美的方案,但忘掉那些不常用的强密码也不好

5.5. 生物特征识别方法本身很容易受到攻击

  • 5.5.1. 理想情况下,生物特征应该仅被用作一种认证因素

  • 5.5.2. 先滑动你的指尖或对着摄像头微笑,然后输入PIN码或锁屏密码

    • 5.5.2.1. 这应该能保证你的移动设备的安全

5.6. 密码和PIN码是安全解决方案的一部分

5.7. 比复杂密码更好的方法是双因素认证(two-factor authentication)​

  • 5.7.1. 2FA

5.8. 当尝试认证一位用户的身份时,网站或应用要查证3个东西中的至少2个

  • 5.8.1. 通常这些东西是指你拥有的东西、你知道的东西和你是谁

  • 5.8.2. ”你拥有的东西”可以是磁条式或芯片式的信用卡、借记卡

  • 5.8.3. ​“你知道的东西”往往是PIN码或安全问题的答案

  • 5.8.4. “你是谁”包含了生物特征识别—指纹扫描、面部识别、声音识别等

  • 5.8.5. 这些东西越多,越能够确定你就是你自称的那个用户

5.9. 每当你使用ATM时,你就在使用2FA

  • 5.9.1. 你有一张银行签发的卡(你拥有的东西)和一个PIN码(你知道的东西)。

5.10. MFA

  • 5.10.1. 多因素认证(multifactor authentication,简称MFA)。

5.11. 在网上也能实现类似的认证方法

  • 5.11.1. 很多金融、医疗机构、商业电子邮箱和社交媒体账号都允许用户选择2FA

  • 5.11.2. 你知道的东西是你的密码,你拥有的东西是你的手机

5.12. 一旦你注册了一台设备,就可以使用该设备继续登录该网站,多长时间都行,甚至将你的笔记本电脑或手机带到另一个地方也无妨

  • 5.12.1. 除非你特别勾选了信任该计算机30天的选项(如果有的话)​,那样你就会被提示输入新的访问代码

5.13. 需要一台专门用于金融方面的次要设备,甚至医疗方面也是如此

6. 匿名电子邮箱

6.1. 即使你在计算机或手机上阅读完电子邮件后将其删除,那也不一定会真正删除其内容

6.2. 如果你使用Gmail,通过你的Gmail邮箱发送和接收的每一封电子邮件的副本都会被保存在谷歌位于世界各地的多个服务器上

6.3. 第三方也可以出于其他目的访问我们的电子邮件,而这些目的更加险恶,并且是为它们自己服务的

6.4. 原则上,大部分人都不愿意让其他任何人阅读自己的邮件,除了我们期望的收件人外

6.5. 尽管大多数人可能会容忍为了检测恶意软件而扫描我们的电子邮件,也许有一些人还能忍受以广告为目的的扫描,但让第三方读取我们对特定邮件中特定内容的反应和行为则是完全让人不安的

6.6. 为了隐身,你必须使用公开可见的东西

7. 给你的邮件上锁

7.1. 恺撒密码(Caesay Cipher)就是一种非常简单的加密方法,它是指将密码中的每个字母替换成字母表中相距一定距离的字母

7.2. 大多数今天所使用的加密系统都比任何恺撒加密强大得多,因此要破解它们也就更加困难

7.3. 所有形式的加密都有一个共同点:需要密钥,这可以用来锁定和开启加密信息

7.4. 如果使用同样的密钥来加锁和解锁加密信息,那就是一种对称加密(symmetrical encryption)​

7.5. 非对称加密(asymmetrical encryption)​

  • 7.5.1. 意味着我要生成两个密钥:一个保存在我的设备上并且永远不会被共享出去的私钥(private key)和一个我可以在互联网上随意张贴的公钥(public key)​

  • 7.5.2. 两个密钥是不同的,但在数学上是相关的

7.6. 最流行的电子邮件加密方法是PGP(Pretty Good Privacy)​,这个简写表示“相当好的隐私”​

  • 7.6.1. PGP不是免费的,而是赛门铁克公司的一款产品

7.7. OpenPGP,这是免费的

7.8. GPG(GNU Privacy Guard)​,它是由维尔纳·科赫(Werner Koch)创造的,也是免费的

7.9. 三者是可以兼容的,这就意味着不管你使用的是哪个PGP版本,基本的功能都一样

7.10. 电子邮件不是点对点的(point-to-point)​,也就是说一封电子邮件在到达目标收件人的收件箱之前,可能会经过世界各地的好几台服务器

7.11. 当你的银行主动打电话来,要求你提供社会保障号码或账户信息时,你就应该挂断电话,然后自己打给银行,因为你永远不知道电话或电子邮件的另一边是什么人

posted @ 2025-12-09 16:22  躺柒  阅读(0)  评论(0)    收藏  举报