互联网可以是可怕的地方。威胁有多种形式,实际上潜伏在任何角落。更糟糕的是,昨天的持续安全在线的普遍建议 - 避免狡猾的网站,不要在被盗或非法货物中交通,只与你所知道的人互动 - 不再拥有。来自假设家庭成员的网络钓鱼电子邮件,捎带合法应用程序,着名的网站被劫持的恶意代码 - 数字安全显然需要新的规则来满足今天的不断发展的威胁景观。
考虑到我们的数字生活中的大部分时间发生在线 - 通信,金融交易,娱乐,工作,教育,少数 - 即使是几个安全的浏览实践也会导致广泛的利益。这包括我们如何处理电子邮件的方式,鉴于电子邮件如何作为使用Exploit Kits和Malware的在线攻击的传送机制。
在这里,我们提供了在线安全的战略指导,概述了您可以做些什么来保护您的数据和隐私,同时仍然有效。
了解您的威胁性
有了这么多威胁迫在眉睫,通过锁定一切,采取最严格的方法是诱人的,但挑战是以一种让您富有成效的方式平衡预防措施。例如,为了避免恶意javascript,您只需在浏览器首选项中关闭JavaScript - 除了互联网的一半将变得几乎无法使用。没有JavaScript打开,你有没有尝试使用gmail?这并不愉快。
我们都以不同的方式使用网络,而我们的风险急剧差异,取决于我们所在的位置,我们正在做什么,即使是什么日子。安全研究人员如何保持安全在线与电子邮件的消费者一起急外不同,使用Facebook和观看Netflix。反过来与开发人员不同,下载新工具和频繁出台的建议。
在基本级别,您应该定期更新所有应用程序 - 不仅仅是操作系统,而是每个应用程序,尤其是您的Web浏览器。如果您的浏览器没有主动为您切换,您还应切换浏览器首选项以单击播放Flash。您还应该停用ActiveX并卸载计算机上的Java客户端。除非您使用的java-hengry客户端应用程序,例如游戏或某些教育产品,否则您可能不再需要Java了。即使是主要的视频会议应用程序也转换为纯HTML5。
你还应该考虑组合地点和活动。例如,在公共无线网络上执行敏感事务可以让您陷入困境。您最喜欢的咖啡店的公众Wi-Fi不是网上银行的地方。即使您正在使用SSL连接,也不会;一个中间人攻击是仍有可能超过SSL。
一旦你有那些基础,你需要考虑你最担心的危险,你想要保护的资产,你经常与他们互动,以及存储的数据。在以下部分中,我们分解了这些问题,以帮助您对您的安全浏览实践与您的威胁宽容相匹配 - 您愿意在线生活的威胁水平。
威胁级别1:请不要恶意软件
大多数人,尤其是企业,想要避免所有成本恶意软件。其中两个最常见的矢量是下载恶意软件和逐行下载的链接,其中通过加载网页自动下载恶意软件。可以在网页,电子邮件或IM上找到危险链接。诈骗者经常使用社交网络和URL缩短者以伪装地传播恶意链接,希望有人会点击。
第一行动:停止点击链接。这需要社会训练,而且很难坚持,特别是考虑到我们一直发送的所有链接,无论是专业的还是个人的。如果你经常联系的人打算发送链接,让他们提前通知你——并且只有在得到肯定确认后才发送链接。或者,让人们确认他们确实是通过其他渠道发送链接的。例如,给你的兄弟发短信,问他账号上的链接是否真的来自他。这听起来可能有点偏执,但是最近的假谷歌Docs诈骗成功,因为人们认为恶意文件来自他们信任的人。始终输入您自己的链接,如果有人向您发送看起来像酷白皮书的链接,请直接进入源,然后自己寻找网站上的白皮书。
专家提示:设置浏览器以询问应保存文档的位置,以便在下载某些内容时始终意识到。逐行下载依赖隐藏,以便用户甚至没有意识到发生了什么。配置安全软件以扫描下载它们的所有文件。
威胁等级2:我不喜欢间谍软件
一个攻击攻击浏览器的攻击者可以揭示各种信息。在这里,浏览器附加组件不一定是您的朋友。谨慎使用它们,因为它们可以成为恶意软件的无法预料的送货机制。定期检查扩展名单(Chrome://扩展在铬,关于:Addons.在Firefox中)看看是否存在不熟悉或无法解释的任何内容。禁用看起来可疑的东西很少出错。也很重要,试图欺骗你安装浏览器扩展 - 例如,“点击”添加“以加快这个网站”或其他一些欺骗提示。
第一行动:与个人创建的浏览器加载项更加谨慎,因为他们可以访问没有HTTPS的站点。即使是福利斗争:LastPass,广泛使用的密码管理器的创建者,最近必须在其浏览器扩展中修复许多严重漏洞。请问自己如果附加的方便,超过潜在的风险,特别是如果它在一个月内可能找不到有价值的东西。
专家提示:总是考虑来源。如果您需要下载Flash或Adobe Reader,请从Adobe的网站获取。不要从非内脏网站下载像这样的工具,因为它很容易适用于间谍软件,广告软件和其他恶意文件捎带到下载。不要搜索“免费PDF转换器”并下载首先出现的任何内容。(你甚至需要一个吗?Chrome会自动将页面转换为PDF,现在Office现在有很好的PDF支持。)项目喜欢portableapps.com.和硝提供自动获取和更新可信源的公共开源和自由应用程序的方便方法。
威胁级别3:无论如何都没有跟踪
它发生在我们所有人身上:在浏览Homedepot.com上的地板瓷砖后,在互联网上到处都会出现家居装修广告。广告商依靠Cookie在线跟随您在线跟随您,并根据您的活动提供广告。但这不仅仅是广告。网站使用cookie记住您的帐户,密码和浏览历史记录,并在其网站上跟踪您的活动。当您禁用和清除您减少个人数据的Cookie时,网络犯罪分子可以获得。
第一行动:在线使用私人浏览或隐姓埋名模式。在此处,在会话结束时不会保留cookie和浏览历史记录。您可以在URL中启动隐姓埋名模式并粘贴(您确定不会给出恶意软件)并充分导航到页面,完全确定未跟踪。如果您想在Chrome上始终隐姓埋名,请添加- inognito.在Chrome属性中的目标命令结束时,每当启动Chrome时,您将处于隐身模式。您可以对Firefox进行操作关于:config.。
专家提示:如果您想使用Facebook,Twitter或其他社交账户,但不希望持续登录,请在Chrome,Firefox或Safari中创建一个单独的用户配置文件,专门为该社交网络保留。在那里登录,只在那里,只在那里使用它。这限制了与您绝对需要它的那些事情相关的数据的数量。此技术对于从使用社交网络的站点中最小化跟踪,也可用于单点登录提供商,如Spotify。
如果您担心跟踪,您应该启用不跟踪您使用的每个浏览器。DNT并不强制 - 它只是告诉网站,你要求不被跟踪。这取决于您访问该请求的网站。许多网站并不是一丝不苟,无法保证您正在访问的网站将尊重请求,但至少对您的偏好明确提前没有伤害。
威胁等级4:脱掉我的信息
Cookie是网络犯罪分子的主要目标,因为它们包含的信息,尤其是具有电子邮件,帐户名称和密码的信息。即使在模糊时,这些信息也可以毫不犹豫地使用。跨站点脚本攻击使用网页上的JavaScript来从Cookie中提取用户详细信息和会话信息,并使它们在线模拟它们,并且跨站点请求伪造攻击使用会话cookie来伪造其他站点的请求。
第一行动:只要您才能阻止饼干。虽然阻止第一聚会和第三方cookie并禁用会话cookie会很好,但它使得基本的Web浏览,例如电子邮件和社交网络几乎不可能。您应该至少阻止第三方cookie,并且您应该考虑定期删除浏览器历史记录。
此外,不要让浏览器存储密码。这很方便,但很难保证所存储的密码的安全性。用一个单独的密码管理器如1password或KeepAss。
专家提示:对于搜索,请使用诸如DuckDuckGo等安全搜索引擎,该引擎不会存储计算机自动传输的信息,例如您的IP地址和其他数字身份。DuckDuckGo无法根据以前的搜索或位置自动完成搜索查询,但这是一个小的代价,因为它也无法将搜索历史链接给您。
如果您想将您的信息保留给您自己,私人浏览是您的朋友。如果没有保存cookie,则没有什么可窃取的。每次浏览器会话后删除所有cookie都是个好主意。您必须使用每个新会话登录网站,因为他们不会知道您是谁。这是建立不同的用户会话的另一个用例,您可以在其中为特定登录和仅限于该用户会话的Cookie创建会话。
虽然一些附加物可能是危险的,但其他附加物是好的 - 例如,断开,它可以阻止第三方跟踪cookie。该扩展可以阻止社交媒体账户跟踪浏览历史,并让用户能够控制网站上的脚本。另一个值得拥有的扩展,ghostery,阻止常见的跟踪脚本,但如果需要,允许您取决于它们的白名单网站。
威胁等级:不要察觉我
网络钓鱼网站是欺诈性网站,旨在窃取个人信息。这不仅限于电子邮件或银行网站的登录凭据。网络钓鱼网站可以使竞争者化妆,并要求您的SSN。网络钓鱼攻击还可以将受害者重定向到伪料网站,其中下载恶意代码,恶意软件收集敏感信息。我们看到各地的潜在网络钓鱼攻击,因此我们的自然倾向是不要点击任何链接。
第一行动:不要点击电子邮件中收到的链接或打开的附件,更不要在收到的表格中填写敏感信息。联邦快递的申报单可能是假的。拿起电话,打电话给联邦快递,核实情况。不要点击邮件中的链接,因为邮件看上去像是人力资源部门在提醒你假期余额。直接去人力资源网站看看哪里出了问题。输入url有助于捕捉一些技巧,比如使用0.(零)而不是一个O.(字母)或nn.代替m,或者地址类似于paypal.com.someothersite.com。在浏览器的地址栏中键入公司网站的可信URL,以绕过电子邮件或即时消息的链接。
专家提示:仅在使用HTTPS的网站上提供个人信息。请记住,通过让我们的加密和其他免费SSL证书来源,只是挂锁图标不再足够了。寻找ev cert - 实体的名称应该在浏览器栏中显示。这HTTPS到处扩展来自电子前沿的基础,也是一个很好的选择,因为它强迫网站将流量放在HTTPS上。
如果您收到来自商家的电子邮件 - 例如,对于特殊或折扣 - 请参阅是否有选择发送电子邮件作为文本而不是HTML。这使得更容易看出给定链路的内容是什么。
难以检测所有网络钓鱼尝试 - 有些非常好。确保不要为您的帐户使用相同的密码,以便被盗一个并不意味着所有其他都受到损害。使用password manager为每个站点帐户生成离散密码。尝试将个人互联网与工作互联网分开,从未使用您的工作地址注册网站。如果该帐户受到损害,则您不希望它导致对您的工作地址的网络钓鱼攻击。当一个站点支持它时,打开双因素身份验证,以使攻击者更难以使用被盗凭证 - 特别是如果该网站是金融机构。
威胁等级6:核保护