若你沒有遇過帳號被竊的事件,你很難想像誰要竊用你的帳號?若你沒有損失過重要的資料,你也很難想像資料安全的重要性!但是以上兩種情形不是要你體會過才了解,等體驗到的時候搞不好已經欲哭無淚了,因此一些基本的資安概念大家還是很需要知道的,但是我相信有接觸的人少之又少,因此我來簡單的分享一下簡易的一些心得。

若你常常上網,難免都會接數到一些密碼登入的頁面,像是最基本的上上網收收信就會敲入帳號及密碼;若你和我一樣有在經營部落格,那麼一定也有管理者的頁面需要帳號密碼;若你還有一些網站的管理頁面權限,那更要注意管理頁面的安全。雖然說網頁的技術已經越來越進步,但是不保證所有登入頁面的安全性也是進步的,像是一些公司行號或是特殊的專案,很多人會選擇花銀子來請別人寫一套管理系統,但是你怎確定是不是一個剛學會寫程式的小夥子寫得呢?

這樣說可能還是很多人不能體會安全性在哪,若是你今天管理的一個網頁遭人入侵,之後把你的資料都竊走,這可能包含公司最新的計劃,這不就完蛋了~若是網頁的登入頁面寫得糟糕,那麼這種事情很有機會上演,最基本的SQL Injection還是得防範。
除了Web介面的危機外,若你像我一樣管裡著多台伺服器,每台主機的帳號密碼更是安全的一大漏洞。若是主機上有很多帳號的話,一般用戶的密碼可能攸關整台主機的安全,因為不管是Windows或是Linux的漏洞都一直被發掘,一般使用者的用戶權限都有可能被提權成主機管理者,那麼資料的竊取就不是難事了,若他的目標不是竊取資料,那麼也可能在主機內執入木馬程式,資安上也會有很大的問題。

使用者的密碼通常是管理者的痛,因為在沒有現制的狀況下,密碼有可能就給你設定1234或是abc123,若是他的帳號剛好是很普通的john或是tom,那麼你的主機就算被別人第一步入侵了,若你連管理者都設定這樣的密碼,那麼還是趕快改掉吧!很多使用者更離譜,marry的密碼就叫做marry,angela的密碼就叫做angela123,這樣的密碼是絕對不安全的,因此在密碼原則一定要更嚴謹,避免讓惡徒有機可趁。

除了超簡易的密碼容易被識破之外,你可能不知道這些帳號密碼已經有本龐大的字典,裡面包含了常見的帳號以及常用的密碼,很多人常常都以為自己的密碼已經夠安全,但是殊不知是個非常普遍的密碼,這些密碼有可能早就被收入在超級字典當中,若系統沒有對登入錯誤的次數做限制,那麼還是有可能被try出密碼的唷~也因此除了上面提及的密碼原則之外,登入的限制也是為安全把關。

為了避免很多安全上的問題,最基本就是從帳號密碼做起:
  • 帳號名稱不要太普遍
  • 密碼規則至少兩個英文字、兩個數字與至少一個特殊字元,最少八碼
  • 每個月定期更換密碼
  • 帳號登入錯誤超過三次就鎖定
  • unix或linux的管理者不能直接登入
以上列出一些基本的項目,這樣至少就可以阻止一些基本的入侵,雖然說這些防禦只能說是防君子不防小人,但是最基本的防火牆還是得先建立起來,而且一般使用者帳號密碼是比較難控管的,限制後一定會比較安全,總不能只有管理自己在意這些問題,而使用者漏洞一堆吧!之前曾經介紹過linux chroot的設定,更可以有效限制使用者的權限,雖然說會比較麻煩,但是麻煩總比出事好,不是嗎?

這次的簡易資安介紹,是一個資策會資安週的活動,通常資安都給人感覺很沉悶,但是資安週的活動網站卻是超級可愛的,以卡通和漫畫的方式來呈現資訊安全這門課題,我覺大家可以去參考看看唷^^

http://cybersecurity.tw/
更多資訊請參考:
最新超值旗艦機開箱
比螺旋燈泡還省電的迷你 NAS
26800mAh筆電行動電源