個人與公司的網路隱私安全最佳防衛
隨著產業的習性和不良行為者持續演進,針對個人與敏感資訊的保護安全措施也隨之成長。然而,有許多最佳基礎的做法可以降低你的風險,並同時減少你所屬的組織風險,以下我們將列舉幾點保護個人與企業的做法。
- 最佳基礎做法 Basic Best Practices
- 瀏覽與使用習慣 Browsing and Usage Habits
- 機構安全性 Organizational / Company Security
最佳基礎作法Basic Best Practices:
了解你的數據是否已被洩露Find out whether your data has already leaked:
如果你已經在網路活躍了一段時間,很可能已經有某種程度上的數據洩漏。特洛伊 亨特 (Troy Hunt)建立了一個特殊網站 (https://haveibeenpwned.com)抓取多種數據來源,提供已遭到洩漏的電子郵件以及有安全相關破口的帳戶。
你可以訂閱通知,之後你的電子郵件如有任何可能洩漏的行為被發現時,將會及時收到通知,藉此減輕洩漏後果。也可以透過上述網站得知,數據洩漏是多常見的一件事,並瞭解到要付出額外的努力保護自己的數據。
密碼Passwords:
保護個資、機構資料的最佳以及最基本作法,就是從密碼著手,使用密碼管理器 (例如 Last Pass) 可讓你快速建立、更新及管理你的密碼。你可能想要內部管理你的密碼,以確保機構的安全性密不透風,但在大多數情況下,使用第三方管理器的安全性,遠大於將所有密碼放在同一個地方。
密碼建立Password Makeup:
最簡單的做法,是盡可能使用多點字符在你的密碼中,以增加複雜度也就是安全性。
你可以發現大多數網站已經不接受過度簡單的字母串做為密碼設定,像是一些你從2005年就慣用的密碼,如:我的寵物名。不過,若你只是簡單地將字母 「o」 換為數字 「0」 並加上驚嘆號 「!」,例如「myD0gsName!」,對龐大的數據庫而言,常見的替換方式或增添標點符號,並不會提升太多的安全性。
現在的瀏覽器以及密碼管理器可以幫你自動產生以及儲存複雜密碼,當使用相似的應用程式時,也會盡可能的讓密碼越長越好,增加破解困難度。若你無法儲存自動產出的密碼時(例如你的密碼管理器的密碼),建議創建一個長的密碼字串。舉例:YouknowmybirthdayisonJuly2(whoohoo)butyoustillwon’tguessthis!
密碼多樣性:若每一個帳戶都設定獨立密碼,當其中一個帳戶的密碼遭到洩漏時,其他帳戶不會立刻被其他人破解。
密碼更換頻率:與上述相似,如定期更換密碼,即使帳戶遭到入侵,也能降低資訊洩漏的影響性。如果你和我們一樣從事軟體相關工作,你可以設定密碼的有效期限,如此一來密碼到設定日期時便會自動失效。
圖片來源:https://imgs.xkcd.com/comics/password_strength.png
兩步驟驗證 Two Factor Authentication (2FA)
盡可能的使用兩步驟驗證,即便駭客已經找到複雜的方法破解兩步驟驗證,但這對於線上安全性仍是極重要的一個方式。現在的大型企業多數都支援透過Google Authenticator和Authy應用程式,或發送簡訊的兩步驟驗證。如果你無法為你所有的帳戶進行兩步驟驗證,請至少針對重要的帳戶做設定,如你的Email以及密碼管理器 (或任何有與其他網站/服務分享權限的帳戶) 上使用兩步驟驗證。如果你是負責管理一個組織或網路的人,我們建議對所有用戶強制要求使用兩步驟驗證。
瀏覽與使用習慣 (操作安全) Browsing and Usage Habits (Operational Security)
確認SSL憑證 Confirm SSL Certificates
任何一個會儲存個人資訊,尤其接受付款功能的網站,都沒有理由不提供SSL安全憑證,現在的瀏覽器在使用者造訪不安全網站時提供的警示也越來越強而有力,但你可以使用像是EFF所製作的擴充套件HTTPS Everywhere 確保你在網站上的連結安全性。
電子信件連結與請求,請持懷疑態度 Skepticism of Email Links and Requests
最常被駭客入侵的方式,並非透過厲害的軟體遠端劫持你的電腦,而是透過簡單的電子郵件欺騙你來取得進入王國的密鑰。當你收到任何請求你登入或提供資訊的電子信件,請花點時間來驗證寄件者的網域和所提供的連結網域,在任何登入頁面中沒看到綠色的HTTPS就是個重要的危險信號。
任何認真對待安全性的公司並不會要求你透過電子信件或電話提供密碼,如有任何疑慮,請查找該機構的公開資訊並直接與他們聯繫。此外,請留意群組或好友提出的任何異常請求,也許你有個很好的密碼以及安全的帳戶,但你的朋友們帳戶已經被入侵,需使用其他平台來確認該請求是否真的來自你的朋友或同事。
讓操作系統與應用程式保持在最新版本 Keep Operating Systems and Applications Up-to-Date
最新版本在使用上擁有較快的反應速度,並且像是瀏覽器、軟體與操作系統,在最新版本的安全性也往往是最強大完整的。
機構安全性 Organization Security
對那些較小的公司與企業,請務必強制執行以上所提到的幾個要點:
- 對於密碼有基本的要求與限制
- 針對公司範圍的密碼做管理
- 對所有與公司連結的帳號使用兩步驟驗證
大部分的人在帳戶被入侵前,都會對自身的安全性十分有自信,請不要冒任何資料外洩的風險,務必盡可能地強制達成以上三點,也可以透過像是 Microsoft、G Suite 等軟體或平台完成設定。同樣的,這些小秘訣都只能達到輔助功用,而不能代替網路/資訊全面的安全規劃。
層級權限 Structured Access
大型的企業應該針對資訊做系統化權限劃分,然而,小型企業雖然資訊量與層級不如大型企業複雜龐大,但依然有幫助,層級權限的基礎概念是對於權限進行細分,以便使用者只能檢視編輯與他們個人工作相關的資訊。在小型企業與新創公司中,每個人可能身兼多個職務,可能在資訊或工作內容的劃分上有灰色地帶,即使這樣,使用基本的權限劃分還是非常重要的。
不輕易共享權限 Don’t Share Access
乍聽似乎是個理所當然的情況與要求,但尤其在規模小的公司中,特別是當客戶參與公司日常工作流程時,常常為求方便,容易出現「例外」。
不管他們提出多好的理由要求共享權限,都應該謹守公司與客戶之間的分隔,可以誠懇告訴客戶
「很抱歉,由於內部政策考量,我們無法分享內部權限。」相信他們會體諒的。
人員異動 Employee Changes
當有人員異動時,必須立即更改他們的密碼以及檢視權限,並確保有人負責針對這些人員的主要及公司帳戶權限進行審核,當您的密碼與權限管理的SOP與流程愈完善,管理上也越輕鬆。
潔淨桌面政策 Clean Desk Policy:
對於有機會取得任何敏感資訊的辦公室,需要設立明確的政策,禁止在該辦公室的桌上留下任何密碼或者憑證相關手寫資訊,以防有人員經過時輕易取得密碼及敏感資訊。
文件與教育 Document and Educate
當大家工作繁忙時,大家容易將「安全性」視為一個抽象的概念,放在優先順序較後面的待辦事項,這時若公司提供的安全性相關文件與宣導越完善明確,可以協助員工及同事正視安全性的重要性。
以下三點可以提升安全性的實施完成率:
- 落實密碼安全性的定期審查
- 使用兩步驟驗證
- 宣導時搭配文件說明
針對每個同仁的安全性,提出明確的步驟說明,會比使用公司統一的枯燥文件來得有效。
鱷魚護城河 Alligator Moats
現代企業需要警惕的不僅僅是網路上的威脅,我們必須採取行動來抵禦世上的如忍者般想竊盜資訊的人。
如果將這些人以忍者做比喻,在你挖掘完公司的護城河後,我們建議你投資半機械式鱷魚,一般鱷魚僅會吃掉忍者們,而半機械式鱷魚會對忍者們使用雷射並同時吃掉他們,任何專業人員都會告訴你這是很有道理的。
好啦,開個玩笑…擁有一般鱷魚就夠了,也就是說擁有基本但完整的安全防護就夠了。
我要留言