文/溫雲超
雞蛋不要放在同一個籃子裡,是很多人都熟悉的生活常識,籃子一打翻,雞蛋就全碎了。投資經理們經常會忽悠客戶說,只要籃子夠結實、看得牢,放在一個籃子裡也無所謂。對於投資來說,收益大風險也大,把雞蛋放在一個籃子裡是可考慮的選擇。但對於信息安全來說,把雞蛋放在同一個籃子裡,只有風險,卻沒有收益。很多生活經驗,同樣適用於信息安全,例如,有備無患 、小心行得萬年船等。
有些人經常會發現自己的操作系統越來越慢,或是直接就無法操作,重裝操作系統成為以不變應萬變的招數。很多盜版的操作系統安裝盤也提供了一鍵安裝等功能,重裝個系統,也就一頓飯的工夫。
重裝系統的時候,免不了要備份跟系統分區放在一起的文檔及數據,有的人就開始把這些東西放在非操作系統安裝分區裡。當然,這些分區經常還放著一些無數個晚上辛苦開著電驢拖回來的好幾百個G的「學習資料」。下一次重裝系統的時候,只要把操作系統分區格式化並重裝即可。
潛在危險
如果一切不出意外,這樣的做法一定程度上能保證數據的安全。可是,以下事情也經常會發生——硬盤壞了,所有分區的數據都不見了;使用Ghost軟件恢復操作系統,到分區的時候不小心操作成恢復到整個硬盤了;更極端的情況,電腦丟了,或是因為在網上說了什麼話被抄家,電腦給搬走了。這時就會發現,備份在同一電腦裡的數據並不安全。
不少人會注冊一個郵箱作為自己的主郵箱,然後使用這個郵箱去注冊推特微博等網絡信息發布服務,注冊網絡購物旅游等電子商務服務,甚至還用這個郵箱作為注冊其他郵箱的應急郵箱。顯而易見的可能是,如果主郵箱被盜,別人很容易通過歷史郵件,查找有哪些網絡應用或服務是通過這個郵箱注冊的,然後使用密碼重設功能, 把注冊的其他網絡應用或服務都破解。還有的人圖省事,把自己的所有網絡服務或應用的用戶名和密碼記錄在主郵箱的一個草稿裡,入侵的人直接就一鍋端了。
有的人會將自己的支付寶賬號跟手機捆綁,手機號能夠直接作為登錄賬號。如果手機丟失被不法分子撿獲,不法分子可以先用這個手機撥打其他手機獲得手機號碼,再試著在支付寶上用這個手機號碼的找回密碼功能,輕易就將手機號碼所注冊的「支付寶」密碼查了出來。媒體報道過多次這樣的案例,如手機號不再使用時,用戶注銷了手機號卻沒有及時解 除與支付寶的綁定,運營商將號碼再次出售,新的用戶就可以憑這個號碼登錄並掌握原用戶的支付寶賬號。更極端的例子是有人用假身份證補辦了一個新手機卡去盜 竊他人支付寶資金。
更有的人,自己的手提電腦不設置登錄密碼,瀏覽器設置了各網絡服務的自動登錄,QQ等即時聊天工具也設置了自動登錄。電腦一旦丟失或失去控制,所有的信息都直接暴露給他人。有的人把所有的網絡應用密碼記錄在一個文件裡,保存在自己的硬盤中,這樣的風險也很大。類似於360安全衛士這樣的軟件,如果偷偷掃描硬盤並上傳這類的文件,並不會讓人意外。如果是硬盤出點故障,或是電腦丟失,哭都來不及。
以上種種情況,都是把雞蛋放在了同一個籃子裡的典型例子,後果就是極容易帶來「雪崩效應」。有心人士只要掌握了用戶的郵箱或手機,就掌握了一切。應對的辦法,當然就是不要把雞蛋都放在藍子裡。
設置主次郵箱
不要把所有的用戶賬號與同一個郵箱或同一個手機號關聯,重要服務或應用的密碼取回功能不能只與單一郵箱或手機號捆綁。設立一個主郵箱,這個主郵箱最即使用 Gmail,方便設置兩步驗證。兩步驗證極其重要會在後續的文章中專題再講。設置了兩步驗證的郵箱,即使是別人知道密碼,如果沒有手機的配合,也無法登錄賬戶。在設置兩步驗證的情況下,極重要的應用,如網銀,可以跟主郵箱捆綁。
使用專門的郵箱注冊重要的網絡服務,如推特、臉書。郵箱的密碼和所注冊的服務分開。這些專門的郵箱,只有在注冊時或取回密碼時才會用到,平常不操作,也就不容易被盜取密碼。
很重要一點,不要把所有的密碼記在一個文檔裡或放在同一個地方,否則,無心之失,都可能帶來慘重的損失。
基於眾所周知的原因,不要使用中國這樣的國家的運營商提供的郵箱注冊重要的服務。香港一位知名媒體人,因所在的機構被列為「反動媒體」,就曾經發現幾乎在同一時刻被人試圖重置她所有在中國國內注冊的網絡服務的密碼。顯然,對於這樣的國家,有司只需要一聲令下,各運營商就得無條件執行。最好的辦法就是遠離國內的運營商,不使用他們的服務。不得不使用時,也需要和其他的網絡服務隔離,如不使用同一郵箱注冊,不使用相同或類似的密碼。
(原文刊於「泡泡網」,按內容伙伴協議轉載。)