业余安全漫谈(三):密码、存储、信息传输安全
2023-02-10 11:15:49 #业余安全漫谈

0.好钢用在刀刃上

我们不妨把使用密码的情况分为三种:

  1. 低强度需求。这种情况对应着:哪怕密码被盗了,也不会造成什么损失。比如:不常逛的论坛登陆密码、不常用的APP的登陆密码。
  2. 中等强度需求。比如:常用的视频网站、论坛的密码,个人电脑的密码,手机密码。
  3. 高强度需求。比如:敏感文件的访问密码。

对于不同的情况,可以选择不同的密码强度。对于第一种,我们把密码设为111、123之类都没有问题,因为就算黑客破解了这些密码,也获得不到什么东西;对于第二种,我们可以把密码设为相对复杂一点,同时又比较好记忆的密码,比如MyNameIsNick23723之类;对于第三种,我们可以用一些随机算法生成密码,比如A6YW0:7lRpdKdJ^k2O(o}R+7之类,同时用特定的软件、工具来管理。

同时密码的复杂度也与您使用密码的次数有关,经常使用的密码可以设置的好记一些。

1.强密码

强密码要有以下几个特点:

  • 长度尽可能长

  • 不包含用户名

  • 同时有大小写字母、数字、特殊符号等

比如,下面这些是弱密码:

  • 123
  • abcdef
  • 当用户名是Nick的时候,密码为Nick111

与之相反,这些是强密码:

  • ThisIsAPassword1212=
  • MyNameIsNick23723

怎么想出来一些好用的强密码呢?

观察周遭事物

步骤:

  1. 挑选周围出现的几个事物。
  2. 将它们用文本表示出来。
  3. 加上数字。

举个例子:

我周围有开关、书、电脑,那么我就把密码暂时设置为“SwitchBookComputer”,加上点数字:“SwitchBookComputer2023”。这样我们就有一个强密码了。也很好记忆。

2.密码管理器

密码管理器可以用来管理、生成密码。

我不推荐用浏览器保存密码,因为浏览器并不是为管理密码设计的。我更推荐用专用的密码管理器。

现在的密码管理器大概分为两种,一种将密码库放在云端,另一种将密码库存储在本地。前者比较方便,可以多设备同步,但是面临着数据泄露的风险,比如LastPass密码库泄露事件。所以我更推荐使用后者,只要你能够妥善保管,就很安全,我日常使用的是KeePassXC

这里也推荐一个方法,在设置密钥时,可以在设置密码的同时设置密钥文件,这样基本上没有暴力破解的可能性。

——我的另一篇博文:《Linux苦痛之路(三):漫谈+Arch Linux软件配置选择》

最好的密码管理器是什么?纸、笔和保险箱。

3.加密卷

如果您有些敏感信息要存放,可以使用Veracrypt,它不仅可以创建加密卷,也可以加密U盘、硬盘等,是很强大的工具。

同样,采用密钥文件+密码的模式,会很安全。

——我的另一篇博文:《Linux苦痛之路(三):漫谈+Arch Linux软件配置选择》

4.加密服务

尽量选择安全的、私密的服务。如果您有相关的知识储备,可以试着了解服务背后的原理。

比如电子邮件可以选择protonmailtutanota等等。

5.隐藏起来的重要信息

当传输图片、文本时,尽量保证图片、文本里包含最少的信息。简单!我们把那些能够暴露我身份、地点的信息都删除、用马赛克遮盖起来就好啦!

这够吗?

我们以图片为例子。

图片不仅仅包含一个个像素点,它还包括一些元数据,像下面这些:

如您所见,它包括图片的一些基本参数,有的元数据还包括您拍摄照片的位置。当您把图片发在社交网站上的时候,如果这些网站不对元数据进行擦除的话,别人可以通过一些工具查看到这些元数据,进而对您的活动进行分析。这些元数据是人肉搜索的利器。

您可以通过此网站或者exiftool工具查看图片的元数据。

至于擦除它们,您可以使用exiftool删除元数据,如果是Windows系统,或许可以通过右击图片-属性-删除一些元数据的方式进行擦除。

这告诉我们什么道理?有些信息是隐藏起来的,而这些信息也很重要。

同理,PDF文件也具有这些元数据,您可以通过exiftool这个小巧强大的工具查看、擦除、修改元数据。

此外,您的口头禅、聊天方式等都可以成为您独一无二的身份标识,用来识别、追踪您的身份。这些信息会在你不经意间流露,更加难以防范。

6.加密通信

这里只谈论几种比较常用的加密通信方式。

隐写术

您一定在影视作品中见过这样的场景:一个古代囚犯,将重要的信息用透明墨水写在白纸上,一般人根本看不出纸上写着字。接应的人收到这封信后,做了些处理,信息就显示出来了。这就是隐写术的一种。

对于处于现代社会的我们,可以将文件隐藏在图片中去,比如利用强大的outguessSteghide工具。隐写前后,用肉眼观察图片看不出什么差别来。

您也可以利用MP3Stego等工具将文件隐藏在音频中。

端对端加密软件

它们的作用,相当于在两个人之间设立了一条私有的、加密的、安全的通信隧道,信息在发送方加密,通过加密隧道传输到接收方,接收方解密,阅读。其它人没有办法截取谈论的信息,哪怕截取到了这些信息,也只能对着加密过的信息干着急,没办法解密。由于某些原因,不作推荐。

直接加密

您可以在本地直接加密文件,然后通过任意的信道传输。您只要私下告诉接收方密码就可以了。常见加密方式有传输加密卷等等。

Ex.最薄弱的环节不是工具,是您

在拥有这些工具的同时,也要注意,如果您不知道如何正确使用这些工具,不知道如何养成良好的安全保护习惯,那么这些工具形同虚设,甚至会由于您的错误使用,起到相反的作用。

危险不仅仅来自于线上。很多攻击方式往往来自于线下,比如邪恶女仆攻击

希望您遵守下面几条原则:

  1. 不要将电脑外借,不要告诉别人您的密码。在这些事情上,没有人值得信任——包括那些您最亲近的人。如果他们非要使用您的电脑、网络服务的话,建议您新建一个电脑用户、网络账户。
  2. 不用电脑、网络服务时,将之锁定、注销或者关闭。
  3. 将我们提到的理论、原则真正的付诸实践。
  4. 一个密码不要同时用在许多服务上。
上一页
2023-02-10 11:15:49 #业余安全漫谈
下一页