安全的用网行为

前面 2 节安全讲的主要是针对架构和开发方面，这节主要针对我们日常生活中应该注意的一些安全注意点。安全并不仅仅是因为软件漏洞导致，很大程度是因为人为因素导致。

1. 简介

黑客一次完整的攻击过程主要会经历下面几个步骤：

信息收集是整个流程的第一步，也是很重要的一步，因为如果直接收集到泄漏的账号密码，那么下面的几个步骤甚至都可以略过了。如果收集到目标服务器的 IP 地址，就可以用工具扫描，检测该服务器的漏洞等。下面将介绍信息泄露的主要场景和防护。

2. 账号安全

我们每个人的账号都一大堆，有很大一部分人的账号和密码都是一样的，因为没办法平台太多了，如果设置不同很容易忘记也很不方便。

2.1 时效性

要时不时的更改自己重要系统的密码，可以用带有古诗文的信息方便自己记忆。比如，有一部分密码是固定不变的，另一部分动态的每隔 3 个月更换一次，例如用 cqmyg（床前明月光），下一次用 ysdss（疑是地上霜）。

2.2 不要随便注册账号

没有绝对信任的网站不要随便注册，如果不得已的话也不要跟自己的重要账号的密码设置一样。这种网站一方面可能是不法分子故意用来盗取信息的，另一方面不是正规机构的网站安全性比较差，即使网站运营者无意，也可能被人攻破后窃取信息。

2.3 密码复杂度

不要设置太简单或者太常见的密码，不然容易被暴力破解，要有英文，字符，数字的搭配组合。

3. 软件安全

3.1 软件需要从可信任的应用商城下载

无论是手机，还是电脑都不要随意安全不信任的软件，因为很多这种软件即使功能正常使用，但是里面其实被黑客破解修改过，植入了木马病毒之类的程序。

3.2 应用权限

手机软件安全的时候经常会询问是否允许 app 获得某些权限，不是必要的权限不要开启，比如访问手机短信之类敏感行为。

4. 社会工程学

社会工程学主要是利用人性的弱点，套取搜集对黑客有价值的信息。

4.1 主要泄漏信息

• IP 地址，物理地址
• 网站后台访问地址，密码信息
• 家庭成员信息，电话信息
• 生日（很多人的秘密是生日日期）
• 公司信息，同事信息

4.2 经典骗取方式

冒充公司领导

• 打电话
• 邮件

故意接近

• 跟你做朋友
• 美人计
• 假意请求帮助
• 假装面试

5. 信息综合搜索

信息的搜集往往不是单一的，是由类似上面列举的很多方式的组合。我们经常听到一个词 人肉搜索，大家都很惊讶网络神人技术太强，其实主要还是因为我们散布在网上的资料信息太多了。这些零碎的资料拼一拼还是能获得很全的信息的。

1. 搜索引擎随便输入你的名字，或者外加几个关键词
   • 可能查到你在哪所学校，参加了某某活动，获得了某某名次的奖励
   • 你在哪所公司，缴交的一些社保信息
2. 你在某个网站的评论
   • 根据你的昵称到 QQ 上面搜索，同一个昵称到处用概率还是很大的，如果有手机号那就更加准确了，紧接着可以根据你的 QQ 空间获取更多你私人的信息。（这以前是非常好查的，现在腾讯也一直在完善信息安全这块）
   • 也可能是到其他平台去搜索：微博，头条，人人网，58同城 等
3. 照片网上搜索相似
   • 百度搜索引擎就有根据图片搜索到功能
4. 到政府的一些网站，如 信用xx ，上面根据法人名字也能搜索不少有价值的东西。

6. 总结

说到安全防护，大部分人都还是停留在防火、防电、防水的场景，可如今我们手机不离身，吃喝住行全部需要网络，自媒体等资讯爆炸性井喷，所以网络安全更需要引起注重。可以根据上面列举的场景自己排查是否存在类似的问题，及时的撤销网上遗留的不安全信息碎片，并在日常中遵守安全的用网行为。