【公益译文】安全意识专题 | 企业员工需要了解的密码及邮件安全威胁

密码是保障数据安全的一项重要措施,然而同时却又那么不堪一击:Verizon 公司最新发布的报告称,63% 的入侵事件是由于使用了弱密码或默认密码或密码失窃导致的。因此,应采用尽可能强的密码且为不同的应用或账号使用不同的密码,这点至关重要。与此同时,邮件应用广泛(尤其是在工作场合),因而成了网络犯罪分子理想的目标,他们利用社会工程攻击(如网络钓鱼)从邮件中搜集敏感数据。那么,问题来了:你的邮件有多安全?最重要的是,你知道怎样保护邮件“安全”以
及邮件所要求的“安全”级别吗?

密码是如何破解的?

一般说来,破解密码需尝试登陆多次直至成功破解为止。有时,密码破解通过暴力破解攻击实现,但由于有些网站在数次登陆尝试后会超时,因此出现了其他工具,通过发起字典攻击(例如,只使用英文单词、普通数字或字母),减少登陆次数。网上有几十种可免费下载的密码破解工具,黑市上有更为复杂的软件在出售。

令人生畏的是,很多时候黑客根本无需使用这些工具和软件。SplashData 公司收集了数据泄露事件中的相关信息,总结出了最常用的25 个密码。“password”和“12345”每年都高居最常用密码榜单的榜首。

密码为何容易破解?

如上所述,越是常用密码就越容易破解。除了以上提及的简易密码,常用密码还包括生日、周年纪念日和重复的数字。另一个常见问题是,很多公司和/ 或用户出于无知而直接使用“admin”密码,有的嫌麻烦不愿记新密码。

如何设置强密码?

一般来说,强密码是指需很长时间才能猜出或破解的密码,这通常称为“密码熵”,以位为单位计算密码强度。通常,应设置强度至少为40 位的密码。密码设置的基本规则
如下:

  • 多于12 个字符
  • 包含英文字母、数字和特殊字符(若允许)
  • 区分大小写,以小写字母开头

基于以上规则设置的密码可能不太不好记,不过别担心,在本文最后我们会给出一些小窍门和提示。

应多久修改/ 更新一次?

之前,人们认为每隔几个月更改一次密码是个不错的办法,因为这样会防止密码在黑市上使用或买卖。不过,现在观念已经发生变化,安全专家认为定期更改密码与其说会提升安全,不如说增加了用户的挫败感。
然而,以下账户的密码应定期更新:

  • 公司登陆凭证
  • 社交媒体账号
  • 共享计算机账号
  • 邮件账号(通常使用双重认证)

创建强密码

若感觉被入侵、收到了告警或发现应立即使用更强密码,请务必立即更新密码。设置强密码的小贴士和窍门。实际上,如果您手上有一份不错的指南,设置强密码并不像看上去那么难。以下是我们推荐的小窍门。
使用无意义的长词。列举5 个毫不相干的词, 例如“corn walrus sparkplug possession planetary”。将这些词组合起来就构成了超强的长密码,而且该密码不难记忆,读起很顺口,就像念诗一样。USC 开展的小调查表明,61% 的用户更倾向于基于诗歌设置的密码,58% 的会随机组合几个词,而不会设置传统意义上的数字或字母组合。
此外,将字词组合在一起,不加空格,然后再加入几个大写字母、数字或符号,这样就设置了一个既安全又好记的密码。

创建一个基本密码,根据访问的网站确定密码的后几位。Guiding Tech 的一名作者Ajinkya Bhamburkar 给出了一个例子,称他的基本密码是Ajinkya@799,在实际使用时会在该基本密码后加上两位:一位是网站简写,另一位是一个数字。Ajinkya 承认他这种方法有缺陷,但这样很容易设置一个好记的密码(至少对于他来说是这样)。

密码生成和存储工具

最后,密码生成工具和密码管理器应用可以解决密码创建和记忆问题。LastPass 和Dashlane 是两个最流行的密码工具,可免费使用,而且非常好用。然而,这些第三方系统也需要设置密码。尽管他们声称不会存储或加密您的密码,而事实上一旦您的主密码失窃,您的所有密码均会泄露。
这些密码工具使用方便,安全可靠,广受好评,是密码创建和存储的不二之选。但话又说回来,记下密码,然后置于上锁的抽屉内的这种古老的方法会让人更安心些。您或许还对以下工具感兴趣:

http://www.passwordmeter.com/ – 基于各种判断标准(各项用百分比表示),评估密码的整体强度。
http://world.std.com/~reinhold/diceware.html – Diceware 是一款密码生成器,内置固定词汇列表,通过随机组合词汇创建好记又难猜的密码。这种方法很传统,要使用它,您必须下载词汇列表,然后随机生成密码。
https://www.grc.com/haystack.htm – 按该工具标准,密码破解起来如大海捞针一样

难才能称为强密码。输入密码,然后看一下破解该密码需多长时间。
参考链接:

电子邮件安全威胁

了解邮件安全,提高安全意识早在万维网和其他技术突破出现之前,邮件就是远程沟通的媒介。虽然邮件安全看似老调重弹,但现今保护邮件安全也许比以往任何时候都更重要。2016 年,Adobe 系统公司针对400 名白领工作人员做了一个在线调查,发现他们每天平均花费6 小时收发邮件。
邮件如此被关注(尤其是在工作场合),因而成了网络犯罪分子理想的目标,他们利用社会工程攻击(如网络钓鱼)从邮件中搜集敏感数据。那么,问题来了:你的邮件有多安全?最重要的是,你知道怎样保护邮件“安全”以
及邮件所要求的“安全”级别吗?

邮件威胁格局

我们收到的邮件大多数为垃圾邮件。趋势科技2016 年的全球垃圾邮件地图证明了这一点,据其统计,美国的垃圾邮件率为41%,而中国的为84%。好在当今的邮件网关能够过滤掉普通的垃圾邮件。但是,企业所面临的真正威胁并不是“赢取免费机票”和“迅速致富”之类的雕虫小技,而是伪装为合法邮件的危险骗局。

网络钓鱼骗局

网络钓鱼或许是最方便、最常用的邮件攻击方法,这种骗局使用精心编造的邮件,诱骗收件人提供个人信息或点击恶意链接。一旦点击链接,用户就会被定向至欺骗性网站,这些网站冒充合法网站获取用户的财务或个人数据,或用恶意软件感染用户PC,挖掘用户的敏感信息。网络钓鱼利用社会工程技术,让用户以为收到的为合法邮件。

恶意软件

邮件恶意软件指作为附件发送的破坏性代码。一旦下载,受害者的计算机就会被远程控制,成为所谓的“僵尸机”,造成严重的个人或财务数据泄露。勒索软件是恶意软件攻击中的一种新型威胁,在许多情况下也会通过邮件发动攻击。用户下载感染了勒索软件的附件后,会遭遇锁屏或文件加密,直到支付赎金。

邮件安全意识

邮件服务提供商要警惕各种安全问题,防护各种威胁。同样,邮件用户要知道,无论何时收发邮件都有潜在的安全威胁在等着他们。无论是在家使用私人邮件账号,还是操作工作邮件账号,重要的是要提高警惕,在发送或打开邮件时遵循最佳实践,以便最大程度地降低安全风险。

培训与教育

即使有各种邮件安全机制保护系统,最终是否安全还是取决于用户处理邮件的方式。大多数情况下,即使在采取了多种安全措施之后,人为错误仍然是造成安全事件的原因。了解邮件安全和安全使用邮件的用户不太可能打开来自未知用户的附件或冒险行事。更重要的是,须了解网络钓鱼骗局,知道即使大型企业也会因为缺乏安全意识遭遇数据泄露。

如下为一些有用的建议,每个邮件用户都应知晓,进行安全的邮件操作:

确保来件可靠:作为大型邮件系统的服务供应商,安全重点应为检测、预防垃圾邮件,同时允许正常邮件通过。垃圾邮件检测和控制是个关键问题,因为不必要的流量会影响邮件和语音邮件等消息服务的功能,并且使接收端用户对这些服务失去兴趣。幸运的是,因为这个问题普遍存在,出现了许多监控垃圾邮件的产品和服务。拦截垃

圾邮件最常用的一个方法是三重机制:首先,通过屏蔽IP 地址,限制可向系统发送邮件的IP 地址;其次,使用软件检查恶意软件内容,自动过滤邮件消息,剔除判定为垃圾邮件的可疑消息;最后,运用其他规则和功能辅助抓取、拦截用户收件箱中的不必要流量。

选用安全特性:几乎所有主要的邮件客户端都提供网络钓鱼过滤器、反垃圾邮件工具等安全特性以识别、拦截潜在的危险邮件消息。用户要深入了解并启用所有这些安全特性,最大程度地防护携带恶意软件的消息。

使用防火墙:防火墙在强化邮件安全方面发挥着重要作用,它可以过滤、拦截含有恶意软件的附件及其他不符合预定要求的可疑消息。

使用最新版本的杀毒软件:所有领先的杀毒软件程序一般都能够识别并清除来件中的病毒、间谍软件、蠕虫和木马。

使用有效的垃圾邮件过滤器:有效的垃圾邮件过滤器可区分真实邮件和垃圾邮件,用户省去了反复清理爆满的收件箱的麻烦。但是,若垃圾邮件过滤器未正确配置,或进行了极其严格的安全设置,可能会同时拦截合法邮件。垃圾邮件识别技术不断提高,现在已出现更为精确的垃圾邮件过滤器。

加密所有消息:加密是保护外发邮件的常用方法,可防止未授权个人读取消息,搜集重要信息。加密可与防火墙或专业软件同时使用。

使用多重认证保护账户:虽然从安全角度看拦截垃圾邮件很重要,但这并未为邮件服务提供商提供全面的保障。若外部人员可访问用户邮箱,不仅会为账户持有人带来麻烦,还会损害邮件客户端的声誉。使用多重认证和安全网页工具(如安全问题和验证码)为邮件账户又添了一层安全防护。但是验证码之类的工具过去曾被黑客破解,无法完全保证安全。此外,使用不安全密码的用户容易被黑客攻击。主动上报可让运营者了解用户活动,在发现有用户从异常位置登录时追踪可疑活动。

避免使用不安全的Wi-Fi:这一点无论何时都需要密切关注。不安全的Wi-Fi 连接无异于公开邀请网络犯罪分子,使用这种连接,系统会被公开访问,所有的收发流量会被他人一览无余。实际上,这意味着黑客连接到同一不安全Wi-Fi 连接后就能入侵用户账户。

发件人策略框架(SPF)

现今几乎所有的垃圾邮件消息都是从假地址发出的。这些地址的实际用户不得不承受后果,为他们自己实际并未发送的消息负责。发件人策略框架提出了一种技术方法,可保护用于传递消息的信封发件人地址,以便阻止发件人地址伪造。要让SPF 技术发挥作用,收发双方都要有所行动。域名所有人须描述自己的邮件发送策略,如发送邮件时须使用的邮件服务器,还要在DNS 区域的SPF 记录中发布该策略。接收服务器接下来会检查来自该域的传入消息是否符合该域的上述策略。若不符合,且看似来自未知服务器,则被认为是假消息。

URL 扫描

URL 扫描指分析邮件内容中的内置URL,确认其是否为已知恶意链接。即使表面看来正常的网站也可能存在隐藏的“路过式下载”。工作邮件处理规范除了上述邮件安全做法,各组织对于使用公司邮箱也有不同的要求。在办公场所外使用公司邮箱若导致隐私泄露会带来很多麻烦。那么,各企业对员工使用公司邮箱有什么具体要求呢?虽然每个组织都有自己的邮件使用策略,处理工作邮件时还是应该遵循一些通

 

应对措施

作为员工:
• 工作中不使用私人邮件账号。这有两方面的含义,一方面,工作时不使用私人邮箱;另一方面,不向私人邮箱发送公司文档。因为单位有权监控进出流量,所以第一条大有必要,可以避免向老板暴露自己的个人邮件。第二条至关重要,若公司怀疑你滥用敏感公司数据,可能会追究你的法律责任。
• 时刻谨记,老板可能在监视你的邮件。使用工作账号进行的所有沟通都是可以查看的,所以,不要发送或同意接收可能为你惹来麻烦的任何信息。

作为企业:需要能够访问和查看当前与历史流量。
• 应可访问所有相关邮件通信和日志信息记录并进行保存;
• 应复制或存档所有的内外部敏感信息;
• 应拦截违反邮件安全的消息,避免可能的破坏性事件,并采取补救措施。
并非每封邮件都包含敏感信息,并非所有信息都要加密或存档,认识到这一点很重要。因此,要区分并确定哪些信息需要存档或加密以及特定信息应保存多长时间。只要组织和员工使用邮件服务,就存在邮件威胁。全球邮件数量持续上升,与此同时,也出现了各种邮件安全工具和安全操作方法。

 

免责声明

本文原文来自于互联网的公共方式,由绿盟科技博客和“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。

发表评论