2013年9月11日 星期三

[網二] 20130813 個人電腦/網站的資訊安全:給非營利組織的建議


8/13 的網路星期二,邀請了資安專家翁浩正(Allen Own),分享一般非營利組織使用電腦時,應該具備的資安概念,以及要準備、小心的資安動作。 




Allen 的簡報有詳細的說明,再補充提示幾個他所強調的重點:

  • 駭客思維:通常黑帽駭客攻擊的目標,是竊取網站裡的個資與相關資料,因此網站的設計佈局,往往是資安的重要切入口。所以通常看到一個網站,要先把自己變成駭客,思考哪裡是網站的弱點?如何才能破門進入?
  • 密碼安全個人的帳號、密碼,是最基本也最有效防範被盜用的方式。密碼長度至少是 14 字位,包含英、數、符號、空白鍵等增加複雜度,避免使用常見字彙或1234等懶人密碼,也不可重複使用,否則根據字典檔攻擊,往往不用幾秒鐘就會被破解。
  • 二階段驗證:現在許多網路服務都支援二階段驗證功能,也就是除了帳號、密碼之外,使用者可以額外設定 App 專用的密碼、或者從不同裝置登入時,再輸入簡訊 / Google Authenticator 所產生的六位數系統驗證碼,這樣即便帳號、密碼被盜用,還可以使用手機作另一層防護。請參考:[教學] 開啟 Google 兩步驟驗證,使用 Google Authenticator 產生驗證碼,強化帳戶安全。目前 Google, Facebook, Dropbox, Evernote 等等,都可由 Google Authenticator 產生驗證碼。
  • 密碼管理:LastPass(教學)、1Password(教學)都是好用的雲端密碼管理服務,方便跨裝置的使用。但便利性與安全性往往無法兼顧,離線存取密碼仍是比較安全的方式。
  • 軟體升級:越老舊、沒有定期更新的軟體,通常潛藏嚴重的資安漏洞。譬如最近停止更新支援的 Windows XP、Office 2003 等,約是十年前推出的軟體,建議大家盡量升級到較新版本的作業系統與軟體。
  • 木桶理論:資安的維護不是只有資訊人員要注意,往往組織內部只要有人不留意,就容易成為駭客用來攻擊的弱點。所以資安維護、人人有責。
  • 連線安全:公用 wifi 容易被竊取資料,上網通道請盡量用 VPN 服務或 https 連線,避免被複製、竊取帳號資料。

如果您有任何資安相關的經驗或分享,也歡迎留言一起討論!

0 意見:

張貼留言