下面就是我曾經(jīng)看到過(guò)的十個(gè)安全錯(cuò)誤的列表�����。他們不僅常見���,而且是最最基本的��,只要有一點(diǎn)點(diǎn)的安全常識(shí)�����,就應(yīng)該知道不應(yīng)該犯這么初級(jí)的錯(cuò)誤����。
1. 在沒有加密的電子郵件中發(fā)送敏感信息:絕對(duì)不要在沒有加密的電子郵件中發(fā)送密碼�、個(gè)人識(shí)別號(hào)碼和帳戶信息。據(jù)我所知�����,很多人不是太懶惰就是太愚蠢��,以至于不對(duì)電子郵件進(jìn)行加密���,但我是從不這么做�����。即使你需要按照他們的要求����,通過(guò)電子郵件發(fā)送未加密的敏感資料,但這并不意味著你可以這樣對(duì)我做�,我要求所有的敏感信息必須通過(guò)加密才能發(fā)送。
2. 使用答案很容易被發(fā)現(xiàn)的"安全"問題:社會(huì)安全號(hào)碼���、母親的婚前姓����、第一只寵物和生日�,這些信息并不足以構(gòu)成一個(gè)核實(shí)身份的安全手段。要求用戶為他或者她的密碼指定一個(gè)問題���,作為重置密碼的一種檢驗(yàn)手段���,是必須保證所有的其它人不能輕松地找到答案,從而進(jìn)行未經(jīng)授權(quán)的訪問���。
3. 密碼的限制過(guò)于嚴(yán)格:我曾經(jīng)在一些提供類似銀行服務(wù)的網(wǎng)站上看到一些例子�。它們對(duì)密碼的限制過(guò)于嚴(yán)格����,這樣讓實(shí)際情況更不安全�,并且也是完全不能接受的���。六個(gè)字符的數(shù)字密碼實(shí)在是太基礎(chǔ)了,這樣的密碼只會(huì)導(dǎo)致失敗�����。你可以在以前的文章���,"什么是已經(jīng)發(fā)生過(guò)的錯(cuò)誤密碼策略"中找到另一個(gè)更詳細(xì)的例子����。
4. 讓供應(yīng)商的界定什么是"良好的安全":在前面我已經(jīng)說(shuō)過(guò)����,相信供應(yīng)商是一件非常愚蠢的事情。希望你記住這句話�。安全產(chǎn)品的供應(yīng)商真正關(guān)心和保護(hù)的是自身的利潤(rùn)和市場(chǎng)份額。也許有時(shí)間這會(huì)提醒供應(yīng)商改善其安全產(chǎn)品和服務(wù)的狀況�����,但也有時(shí)間結(jié)果反而是相反的。因此���,你必須質(zhì)疑供應(yīng)商對(duì)"良好的安全"的定義�����,不能讓供應(yīng)商告訴你什么最重要��。
5. 低估了所需的安全專業(yè)知識(shí):公司里的實(shí)權(quán)人員往往不明白安全方面的具體問題�。這不僅僅包括了非技術(shù)方面的經(jīng)理�����,實(shí)際上IT技術(shù)經(jīng)理也經(jīng)常被包括在里面�����。實(shí)際上�,象有線等效保密(WEP)不僅僅是一個(gè)簡(jiǎn)單的加密手段,它是標(biāo)準(zhǔn)工作組中很多很聰明的技術(shù)人員共同建立的依靠明確對(duì)加密算法的安全標(biāo)準(zhǔn) ���?
6. 低估了測(cè)試的重要性:即使安全方面的專家也不是了解全部�,他們也有其專長(zhǎng)的領(lǐng)域���。同行評(píng)議(peer review)是在安全方面被認(rèn)為是最可靠的保證���,只有在外部的安全專家對(duì)計(jì)劃進(jìn)行評(píng)估后��,才能確認(rèn)它是不是真正的象紙面上描述的那么有效�����。
7. 高估的加密重要性:許多安全軟件開發(fā)商經(jīng)常犯的錯(cuò)誤就是低估測(cè)試的重要性,而高估了加密的重要性�。他們?cè)谛问缴线M(jìn)行了同行評(píng)議,但更多的關(guān)注是放在了安全策略上���。而安全研究中最根本的柯克霍夫原則中已經(jīng)指出�,任何制度的安全依靠的都是系統(tǒng)本身的設(shè)計(jì)����,而不是添加的安全策略。
8. 識(shí)別要求很容易被偽造:凡是涉及到的傳真簽名����、或發(fā)送影印或掃描身份證的安全措施,基本上都只是一個(gè)擺設(shè)���;在這種情況下����,不可能會(huì)有真正的安全。因?yàn)?�,到目前為止�,副本?shí)在是太容易被偽造了。實(shí)際上�,象簽名和身份證這樣的驗(yàn)證手段,唯一的出路是提高副本的質(zhì)量����。換句話說(shuō),就是只有副本不能被偽造�,才能保證安全的有效。
9. 不必要的重復(fù):很多情況下��,安全商提供的所謂的新軟件�����,實(shí)際上已經(jīng)存在了����,并沒有什么真正的理由顯示必須這么做��。許多軟件供應(yīng)商的新軟件并沒有什么更新的功能和需求�。新軟件往往沒有進(jìn)行足夠的測(cè)試����,這樣的話,會(huì)有很多錯(cuò)誤的存在�。因此,在安裝新的軟件之前�,考慮為什么要這樣做,這樣會(huì)帶來(lái)什么好處是最重要的�。并且����,要了解是不是可以在已有軟件上安裝補(bǔ)丁就可以達(dá)到相同的效果,從而不必重新創(chuàng)建全新的替代系統(tǒng)��。
10. 為了所謂的安全感放棄安全:這是一個(gè)非?;闹嚨腻e(cuò)誤,我都沒有辦法進(jìn)行解釋����。它也是如此的普遍,以至于我不能將它移出列表��。人們將自己的私人隱私領(lǐng)域向任何告訴他們"相信我,我是一個(gè)專家"的人開放�����,并且他們這樣做是心甘情愿地����,熱切地,而且往往不進(jìn)行思考����。 "證書頒發(fā)機(jī)構(gòu)"告訴你誰(shuí)應(yīng)該被信任,從而剝奪你對(duì)信任的決定權(quán)�����;電子郵箱服務(wù)供應(yīng)商提供對(duì)服務(wù)器的加密和解密����,從而剝奪你選擇端對(duì)端加密以及控制自己的密鑰的權(quán)力;操作系統(tǒng)未經(jīng)你的同意決定如何執(zhí)行�����,從而剝奪你保護(hù)自己免于受到移動(dòng)惡意代碼的能力�。不要放棄自己對(duì)安全的控制����,而托付給第三方��。當(dāng)然�����,你不能自己編寫一個(gè)良好的安全工具或者安全策略�����,但這并不意味著這個(gè)工具或者策略可以擺脫你的控制�����,自行其事�����。
關(guān)鍵詞標(biāo)簽:安全維護(hù)
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程