Gmail account security tips 安全小贴士
As part of National Cyber Security Awareness Month, we recently posted about how to pick a smart password. Having a strong password goes a long way in helping to protect your data, but there are a number of additional steps you can take to help you keep your Gmail account secure:
1. Remember to sign out. Especially when using a public computer, be careful to sign out of your Google account when you're finished. Just click the "Sign out" link at the top right corner of your inbox. If you're using a public or shared computer and want to be extra thorough, you can also clear the browser's cache, cookies and history. Then, completely close the browser. On your personal computer, you can also lock your computer with a password-protected screensaver if you need to step away momentarily. Learn the best ways to lock your screen in Windows or in Mac OS X. Forgot to sign out? Open up a new Gmail session on another computer and use Gmail's remote sign out feature to close any sessions that might still be open elsewhere.
2. Be careful about sending certain sensitive information via email. Once you send an email, you're no longer in control of the information it contains. The recipients, if they so choose, could forward the email or post its contents in a public place. Even if you know and trust the people you're emailing, that information may become exposed if their accounts become compromised or they get a virus on their machines. As a rule of thumb, should you need to provide a credit card number or financial account number to respond to a message, provide it over the phone or in person — not over email. And never share your password with anyone. Google does not email you to ask you for your password, your social security number, or other personal information — so don't send it!
3. Enable "Always use HTTPS." Any time you visit a webpage, your computer needs to send and receive information across the Internet. HTTPS is used to encrypt data as it is transmitted between computers on the Internet, so look for the "https" in the URL bar of your browser to indicate that the connection between your computer and Gmail's servers is encrypted. We use HTTPS on the Gmail login page, and you can choose to protect your entire Gmail session with HTTPS as well. HTTPS can make your mail slower, so we let you make the choice for yourself. Open Settings and choose "Always use HTTPS" on the General tab if you want to turn it on.
4. Be wary of unexpected attachments.To help protect you from viruses and malware, Gmail automatically scans every attachment when it's delivered to you, and again each time you open a message. Attachments you send are also scanned. That said, no system is foolproof, so if you happen to get an email from a friend with an attachment you didn't expect, don't be afraid to ask the sender what it is before you decide whether to open it.
5. Make sure your account recovery information is up-to-date. Your account recovery information helps you regain access to your account if you ever forget your password, or if someone gains access to your account without your permission. We currently offer several paths to account recovery. Every Gmail user must select asecurity question and answer — be sure to choose a combination that is easy for you to remember, but hard for others to guess or come across by investigating. Don't choose a question like "What is my favorite color?" as others may easily guess the answer. We also encourage you to provide a secondary email address and/or amobile phone number, so we can send you a link to reset your password if you lose access to your account.
You can find additional security tips for Gmail in our Help Center. Learn more about protecting your computer, website, and personal information by checking out our security series on the Google blog or visitinghttp://www.staysafeonline.org.
作者:virushuo 发表于 2009-07-24 11:07 最后更新于 2009-07-24 13:07
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。
http://blog.devep.net/virushuo/2009/07/24/anonymous-security-guide-1.html
Version: 1.0b virushuo (twitter@virushuo) 20090724
Sent to you by 参考消息 via Google Reader:
via 牛博山寨头条 by (author unknown) on 7/30/09
匿名网民的安全指南(1)
作者:virushuo 发表于 2009-07-24 11:07 最后更新于 2009-07-24 13:07
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。
http://blog.devep.net/virushuo/2009/07/24/anonymous-security-guide-1.html
Version: 1.0b virushuo (twitter@virushuo) 20090724
注意:
1 这不是一份完整的安全手册,只是一些知识参考。但他能帮助你了解那些最重要的细节。如果有发现相关部分好的文档和教程,请提供给我,我连接上。
2 本文主要用于商业安全和个人隐私安全(包括你的私人照片,银行账号等的安全),本文不鼓励将这种技巧用于其他用途,使用在其他用途造成的损失和后果与本文无关,正如用菜刀杀人与磨刀的老大爷无关。
3 本人并非专业研究计算机和网络安全。只是觉得略有所知,所以分享一些常识。如有专业人士认为有错漏,请不吝赐教。virushuo( attt ) gmail.com
4 感谢geekcook.org的支持和建议
5 郭宝锋,你妈妈喊你回家吃饭 #amoiist
6 本文会时常修补增加内容,要转载请务必注明出处和以上注意事项。
网络是怎样传递信息的
整个互联网,可以看作是一台台计算机组成。当然,他们承担了不同的任务。一些机器负责存储你的信息,一些机器负责寻找路线,另外一些则只负责传递。你的信息,或者叫做数据,总是穿过了一台台计算机,才到达最终的目的地。可以想像,在穿过这一台台计算机的时候,是一次多么惊心动魄的历险。每台计算机后面都有一双眼睛,有的还不止一双。这其中可能有你的朋友,可能有完全中立者,不幸的是,你的敌人也往往混迹其中,虎视眈眈。
如果你不采用任何安全措施,则你的信息对于这无数个环节都是透明的。这可能意味着:你的商业机密转天见报,你的情书转天成为办公室趣谈,你的账号上一大笔血汗钱不翼而飞。当然,当然,还有最糟糕的......你还没来得及反映过来,就发现被人塞进车里送到一个不知名的地方。为了不至于成为陈冠希或是被躲猫猫,那么你必须得把这个事情重视起来。
大部分情况下,危害安全的行为都是广泛的,并非针对你个人,比如说,用扫描器来大量寻找具有某些漏洞的机器,或是用爬虫来尝试用123456做邮箱密码的家伙。所以,只要稍微设置一些障碍,对方往往知难而退,去寻找更容易上手的菜鸟。而,特殊情况下,你被盯上了,这就要非常留心了。
一份数据(文档,照片,聊天的一句话,统称数据),从你的计算机上完成编写,经过你的网络发出,进入公共网络。经过无数节点之后,到达某处,等待另外一方获得。这就是进行一次互联网应用的过程。我们来依次看看这个过程中哪里会产生安全问题。
1 你的计算机是否安全?你的操作系统是否有漏洞?你的计算机内是否有木马或病毒?是否有其他人可以使用你的计算机?
2 你的网络是否安全?你的局域网内还有谁?
3 经过的节点安全吗?你的数据是否进行了加密?
4 为你提供服务的服务商安全吗?你所拥有的账号是否泄露?
5 你的IP地址安全吗?你是否愿意被别人追踪到你的IP?
6 除了目标方,还有别人能看到你的信息吗?尤其是email和IM的聊天。
先问问自己这些问题,如果答案不确定,那么就继续往下看吧。
计算机安全
计算机安全是一切的基础,但又往往被忽视。可以想像,如果在你使用计算机的时候,身后永远站着一个人,时刻盯着你的屏幕,那一切安全都无从谈起。所以,首先要保证你有一台足够安全的计算机。这个安全是一系列良好的习惯。绝对不是安装一个杀毒软件就可以高枕无忧的。
1 补丁,木马,病毒,以及其他
对于个人计算机的信息安全来说,最大的挑战是木马。木马真正实现了"你身后永远站着一个人"的效果。相比之下,病毒最多是破坏资料,侵占系统资源,尚无泄密之忧。在这个时代,我认为病毒的安全危害远远小于木马了。现代破坏者们也不再和当年的hacker们一样,乐于通过写一个"得不到任何利益"的病毒程序来炫耀自己的水平。他们更感兴趣是你的银行账号,邮箱密码,网游账号等等真正能变成钱的东西。就算这些都没有,控制你的计算机去帮一些网站刷Alexa排名也是能赚钱的。从几年前开始,新的木马程序和流氓软件产生的速度远远高于传统的病毒,其中"利益为上"是主要原因。
安装一个木马到你的计算机上有很多方法。最简单的方法,就是诱使你安装某个程序。 这个行为又可以分成很多具体操作。常见的有:
a 绑定在正常的软件中。
b 通过常见的聊天工具,利用你的好友给你发送消息,骗你下载(比如QQ尾巴)
c 群发邮件,诱使你运行附件
d 把图片,flash等等打包成exe文件,把木马捆绑上。
最简单的办法永远是骗。千万不要看到"骗"这个词,就觉得技术含量很低。实际上,这个办法学名叫做"社会工程学"。实在是一种专门的学问,不可小看。后面我们还要多次提到这个词,你可以看到,几乎在各个环节,只要有人参与,就有"社会工程学"发挥的机会。
比最简单的方法复杂一点的办法,就是利用浏览器的漏洞。IE是个漏洞百出的浏览器,出现过多次致命漏洞。通过在网页中嵌入一些代码,就很容易利用带有漏洞的IE把木马安装到计算机上,比如"灰鸽子"。
最复杂的方法,就是缓冲区溢出(其实利用IE的漏洞也是缓冲区溢出的一种。),你的计算机上总是运行着很多程序,这些程序,包括操作系统(windows)本身,都可能存在各种漏洞。这些漏洞如果被巧妙的利用,就可以用来安装木马。历史上有几次大的破坏,比如针对windows漏洞本身的"红色代码","尼姆达"。而如果你不小心安装了权限很高,漏洞很多的软件,那么就更容易被攻击。比如我之前说过绿坝的危害。
要保证你计算机的安全,建议做到以下几点:
a 如果可能,不要使用Windows。Mac和Linux的安全强度高的多(很多人认为Mac/Linux安全是因为用户群体小,这个看法是不对的。后面我会用一些例子说明),Windows也并非如大家印象中的那么不安全,只不过需要付出更多的精力来调整和维护。这和一般认为Windows"易于使用"的特性恰恰相反。
b 如果要使用Windows,必须做到及时更新,打所有的补丁。最近看很多人号召关掉Windows自动更新,这是比较危险的行为。我记得360安全卫士提供了给Windows更新的功能,还不错,如果关掉了Windows自动升级,那么就用360的吧。反正不升级是肯定不行的。
c 正确使用防火墙。Windows XP自带了防火墙,一般来说就不用装其他的了。只要把大部分没用的端口关闭掉,就能应付很多情况了。这篇文章可以参考 如果你有一个路由器,那么配置合理的话可以当作硬件防火墙使用(当然也会导致一些新的问题)
d 不要运行任何来历不明的程序。包括你朋友的推荐来的。如果有朋友通过msn或是邮件发给你一个软件或让你下载,那么问他几个问题,以确认是他本人在操作计算机。必要的时候,甚至可以打个电话给他。不要怕麻烦,很多时候,这也是在帮助你的朋友。
e 如果你非常热爱折腾新软件。那么,准备一个虚拟机,专门用来试用软件。确认安全和有用之后再挪到你的工作系统上使用。相信我,你没有那么多需要的软件。
f 如果可能,尽量使用开源软件,并注意在下载的时候校验MD5或PGP,以便确认你下载的是真正的软件,而不是被别人替换过的。可参考这篇文章 其实,我甚至想极端的建议拒绝从不提供任何校验方式的下载站下载,这种下载站要么缺乏基础的安全常识(这样他们就很难保护你的安全),要么就是根本不负责任。
g 杀毒软件在这个时代用处不大,空占资源,还可能惹出来很多新麻烦。包括把能够保护你的软件悄悄删掉(后文会提到)。所以,如果你做到了前面几点,就别浪费这份钱了。
2 权限,账号和共享
使用计算机是有权限的。一般来说,应该降低权限使用。不幸的是,我在很多地方看到人们大摇大摆的使用administrator(或者是具有管理员权限的其他账号),这是系统的最高权限,就像你这台计算机的上帝,日常用这么高权限的账号,危险啊!更糟糕的是,很多人的administrator账号没有设置密码,或是只有简单的密码,在这个危险的世界里,这是和裸奔差不多的行为。正确的做法是:
a 给自己的日常使用建立一个权限较低的账号。甚至低到这个账号只能运行指定的程序才好。
b 前面说了,尽量不要和别人公用计算机,哪怕是家庭成员,限于现状,实在做不到的时候,也应该给其他人单独建立账号,而不要公用一个账号。这些账号的权限都不应该太高,因为一个安全意识不强的人中招,有可能影响到所有人。一些网吧管理软件可以帮助你更好的完成这项工作。
c 设置一个复杂的密码。如果你的administrator密码为空,或是很简单,那么别人很容易通过访问C$来读取你的硬盘,这意味这对方可以拿走你硬盘上的所有文件,管他是艳照还是商业机密。(至少在XP时代,这样还是可行的),所以,给你的administrator设置一个复杂的密码吧。
d 时常注意检查你的共享文件夹。比如说,你在家里把笔记本上的文档通过共享复制到台式机,而你忘记关闭了笔记本的共享。那么下次你去咖啡厅上网的时候,跟你公用一个无线网络的人也可以轻松拿走这些文件。(但愿里面没有艳照...) Windows 使用管理工具->计算机管理->系统工具->共享文件夹 中可以查看哪些文件被共享了。
顺便说一句,我见过某人,从一个竞争对手的总经理笔记本上,弄到了数G的文档,无所不包,甚至包括该公司员工的工资表,相当壮观。其实,那个可怜的家伙也没犯太大错误,无非是违背了c和d原则而已。
在Mac中,默认系统是不允许直接使用最高权限账号root的,其实这也是unix家族的传统。在需要使用管理权限的时候,会给予提示并要求输入密码(这个特性我4年前写过一篇blog讨论 )。这个小小的技巧让系统安全性大大增加。Windows Vista似乎也采用了类似的方式,不过据说做的不好用。我没用过,就没发言权了。
Mac中,默认的共享只有一个"公共文件夹"和其下的"投递箱",公共文件夹是所有人都可以看到的文件,而"投递箱"是别人给你传递文件用的,顾名思义,放到这里的文件,只有你本人才能访问,哪怕投递者本人,一旦放进去也不能再访问了。这些默认的设置很好的引导用户正确使用共享功能,降低了安全隐患。Windows通过一定设置应该也可以实现同样的效果。
3 公共计算机安全守则
如果万一你需要在公共场合使用计算机,那么往往代表存在着极高的安全隐患。必须要提起重视。你永远也不知道你使用的这台计算机上安装了什么软件。是否有自动屏幕截图?是否有键盘按键记录?是否记录所有发送的数据包?天,这就好像你到酒店开房,永远也不知道房间是否有隐蔽式摄像机和窃听器一样......
当然,对方可能是你很好的朋友,他并无恶意,也没打算窃取你的机密。但是,如果他的安全意识不高,那么他早就成了别人饵下的鱼。你跑上去登录一下你的邮箱,只不过是给幕后黑手多一份惊喜罢了。
所以,同样也遵守一些守则吧:
a 不使用不加密的服务。只访问https的服务,这可以有效的避免有人记录你登录数据,所谓登录的数据就是你的用户名和密码。如果不是https的服务,那么你的用户名和密码是用明文发出的。等于白白送给别人。
b 不要使用你最重要的邮箱。你最重要的邮箱往往是你一系列服务的基础,如果这个邮箱落到别人手里,他可以通过找回密码来搞定你所有的服务。所以,最好准备一个备用邮箱,专门放一些不太重要的东西,以及在这种场合使用。
c 一个小技巧。输入密码的时候,先打开一个记事本,在里面胡乱按很多字符,然后用鼠标把你需要的密码字符一个个粘贴,复制到相邻的位置。然后把他们连同一些多余字符,一起复制粘贴到密码输入框中,删去多余的字符,登录。这个技巧是为了防止计算机后台运行了键盘记录木马,鼠标位置的移动比键盘的纪录难的多,所以经过这番折腾,能给窃取者制造一些麻烦,给你修改密码的行为争取一些时间。复制粘贴一些多余的字符,是为了防止有记录剪贴板内容的木马存在。这样他们得到的密码是比实际多几个字符的。
d 一旦回到你的安全计算机上,必须修改你的密码。要修改的密码包括你在公共计算机上使用过的服务,也包括同名同密码的其他服务。比如 iamhere@gmail.com 和 iamhere@163.com两个邮箱密码相同,你只登录了后者,但是前者的密码一样要改一次。不然,假如后者密码被键盘记录器记录了,那么前者也会被试验出来。c的技巧是为了给你争取到一些修改密码的时间。
公共计算机往往是安全泄露的重要环节,我听说过有人网游账号被盗,有人邮箱被盗,今天还听说了一个朋友因为邮箱被盗,最终导致支付宝被盗。这些尚且是损失一点钱和时间。如果你立志做一个匿名网民,邮箱里面有一些不想被别人知道的文档,那么...诸多血的教训一定要牢记啊。
待续,下一篇中我们将讨论什么样的网络服务比较安全,应该选择什么样的邮箱作为主要邮箱,如何保护你的账号安全等话题。
Things you can do from here:
- Subscribe to 牛博山寨头条 using Google Reader
- Get started using Google Reader to easily keep up with all your favorite sites
--
鹅是一个兵,来自老百姓。鹅不是老大,天才是老大
您无所不谈,鹅也不例外。鹅是参考消息@无所不坛
janadabc.blogspot.com 墙内请用谷歌阅读器订阅。
喜欢推特?请翻墙跟@elaoda,鹅推荐推特中文圈!
--~--~---------~--~----~------------~-------~--~----~
您收到此信息是由于您订阅了 Google 论坛"参考消息(G4G)"论坛。
要在此论坛发帖,请发电子邮件到 go2group@googlegroups.com
要退订此论坛,请发邮件至 go2group+unsubscribe@googlegroups.com
更多选项,请通过 http://groups.google.com/group/go2group?hl=zh-CN 访问该论坛
-~----------~----~----~----~------~----~------~--~---
没有评论:
发表评论