virushuo: 匿名网民的安全指南

[wanghx]

其他参考：

1. 警惕 gmail 邮件被网狗设置成自动转发 https://groups.google.com/group/lihlii/t/cf90d184a74aa817
2. 网络通信安全指南 https://groups.google.com/group/lihlii/t/807c14e6dbbc48aa
3. 需要编辑的指南 https://groups.google.com/group/lihlii/t/8b3c1bb66336402b

---

http://blog.devep.net/virushuo/2009/07/24/anonymous-security-guide-1.html

匿名网民的安全指南(1)

作者：virushuo 发表于 2009-07-24 11:07 最后更新于 2009-07-24 13:07
版权声明：可以任意转 载，转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。
http://blog.devep.net/virushuo/2009/07/24/anonymous-security-guide-1.html

---

Version: 1.0b virushuo (twitter@virushuo) 20090724

注意：

1 这不是一份完整的安全手册，只是一些知识参考。但他能帮助你了解那些最重要的细节。如果有发现相关部分好的文档和教程，请提供给我，我连接上。
2 本文主要用于商业安全和个人隐私安全(包括你的私人照片，银行账号等的安全)，本文不鼓励将这种技巧用于其他用途，使用在其他用途造成的损失和后果与本文 无关，正如用菜刀杀人与磨刀的老大爷无关。
3 本人并非专业研究计算机和网络安全。只是觉得略有所知，所以分享一些常识。如有专业人士认为有错漏，请不吝赐教。virushuo( attt ) gmail.com
4 感谢geekcook.org的 支持和建议
5 郭宝锋，你妈妈喊你回家吃饭 #amoiist
6 本文会时常修补增加内容，要转载请务必注明出处和以上注意事项。

网 络是怎样传递信息的

整个互联网，可以看作是一台台计算机组成。当 然，他们承担了不同的任务。一些机器负责存储你的信息，一些机器负责寻找路线，另外一些则只负责传递。你的信息，或者叫做数据，总是穿过了一台台计算机， 才到达最终的目的地。可以想像，在穿过这一台台计算机的时候，是一次多么惊心动魄的历险。每台计算机后面都有一双眼睛，有的还不止一双。这其中可能有你的 朋友，可能有完全中立者，不幸的是，你的敌人也往往混迹其中，虎视眈眈。

如果你不采用任何安全措施，则你的信息对于这无 数个环节都是透明的。这可能意味着：你的商业机密转天见报，你的情书转天成为办公室趣谈，你的账号上一大笔血汗钱不翼而飞。当然，当然，还有最糟糕 的......你还没来得及反映过来，就发现被人塞进车里送到一个不知名的地方。为了不至于成为陈冠希或是被躲猫猫，那么你必须得把这个事情重视起来。

大部分情况下，危害安全的行为都是广泛的，并非 针对你个人，比如说，用扫描器来大量寻找具有某些漏洞的机器，或是用爬虫来尝试用123456做邮箱密码的家伙。所以，只要稍微设置一些障碍，对方往往知 难而退，去寻找更容易上手的菜鸟。而，特殊情况下，你被盯上了，这就要非常留心了。

一份数据(文档，照片，聊天的一句话，统称数 据)，从你的计算机上完成编写，经过你的网络发出，进入公共网络。经过无数节点之后，到达某处，等待另外一方获得。这就是进行一次互联网应用的过程。我们 来依次看看这个过程中哪里会产生安全问题。

1 你的计算机是否安全？你的操作系统是否有漏洞？你的计算机内是否有木马或病毒？是否有其他人可以使用你的计算机？
2 你的网络是否安全？你的局域网内还有谁？
3 经过的节点安全吗？你的数据是否进行了加密？
4 为你提供服务的服务商安全吗？你所拥有的账号是否泄露？
5 你的IP地址安全吗？你是否愿意被别人追踪到你的IP？
6 除了目标方，还有别人能看到你的信息吗？尤其是email和IM的聊天。

先问问自己这些问题，如果答案不确定，那么就继 续往下看吧。

计 算机安全

计算机安全是一切的基础，但又往往被忽视。可以 想像，如果在你使用计算机的时候，身后永远站着一个人，时刻盯着你的屏幕，那一切安全都无从谈起。所以，首先要保证你有一台足够安全的计算机。这个安全是 一系列良好的习惯。绝对不是安装一个杀毒软件就可以高枕无忧的。

1 补丁，木马，病毒，以及其他

对于个人计算机的信息安全来说，最大的挑战是木马。木马真正实现了"你身后永远站着一个人"的效果。相比之下，病毒最多是破坏资料，侵占系统资源，尚无泄 密之忧。在这个时代，我认为病毒的安全危害远远小于木马了。现代破坏者们也不再和当年的hacker们一样，乐于通过写一个"得不到任何利益"的病毒程序 来炫耀自己的水平。他们更感兴趣是你的银行账号，邮箱密码，网游账号等等真正能变成钱的东西。就算这些都没有，控制你的计算机去帮一些网站刷Alexa排 名也是能赚钱的。从几年前开始，新的木马程序和流氓软件产生的速度远远高于传统的病毒，其中"利益为上"是主要原因。

安装一个木马到你的计算机上有很多方法。最简单 的方法，就是诱使你安装某个程序。 这个行为又可以分成很多具体操作。常见的有:

a 绑定在正常的软件中。
b 通过常见的聊天工具，利用你的好友给你发送消息，骗你下载(比如QQ尾巴)
c 群发邮件，诱使你运行附件
d 把图片，flash等等打包成exe文件，把木马捆绑上。

最简单的办法永远是骗。千万不要看到"骗"这个 词，就觉得技术含量很低。实际上，这个办法学名叫做"社会工程学"。实在是一 种专门的学问，不可小看。后面我们还要多次提到这个词，你可以看到，几乎在各个环节，只要有人参与，就有"社会工程学"发挥的机会。

比最简单的方法复杂一点的办法，就是利用浏览器 的漏洞。IE是个漏洞百出的浏览器，出现过多次致命漏洞。通过在网页中嵌入一些代码，就很容易利用带有漏洞的IE把木马安装到计算机上，比如"灰鸽子"。

最复杂的方法，就是缓冲区溢出(其实利用IE的 漏洞也是缓冲区溢出的一种。)，你的计算机上总是运行着很多程序，这些程序，包括操作系统(windows)本身，都可能存在各种漏洞。这些漏洞如果被巧 妙的利用，就可以用来安装木马。历史上有几次大的破坏，比如针对windows漏洞本身的"红色代码","尼姆达"。而如果你不小心安装了权限很高，漏洞 很多的软件，那么就更容易被攻击。比如我之前说过绿坝的危害。

要保证你计算机的安全，建议做到以下几点：

a 如果可能，不要使用Windows。Mac和Linux的安全强度高的多(很多人认为Mac/Linux安全是因为用户群体小，这个看法是不对的。后面我 会用一些例子说明)，Windows也并非如大家印象中的那么不安全，只不过需要付出更多的精力来调整和维护。这和一般认为Windows"易于使用"的 特性恰恰相反。

b 如果要使用Windows，必须做到及时更新，打所有的补丁。最近看很多人号召关掉Windows自动更新，这是比较危险的行为。我记得360安全卫士提 供了给Windows更新的功能，还不错，如果关掉了Windows自动升级，那么就用360的吧。反正不升级是肯定不行的。

c 正确使用防火墙。Windows XP自带了防火墙，一般来说就不用装其他的了。只要把大部分没用的端口关闭掉，就能应付很多情况了。这篇文章可以参考 如果你有一个路由器，那么配置合理的话可以当作硬件防火墙使用(当然也 会导致一些新的问题)

d 不要运行任何来历不明的程序。包括你朋友的推荐来的。如果有朋友通过msn或是邮件发给你一个软件或让你下载，那么问他几个问题，以确认是他本人在操作计 算机。必要的时候，甚至可以打个电话给他。不要怕麻烦，很多时候，这也是在帮助你的朋友。

e 如果你非常热爱折腾新软件。那么，准备一个虚拟机，专门用来试用软件。确认安全和有用之后再挪到你的工作系统上使用。相信我，你没有那么多需要的软件。

f 如果可能，尽量使用开源软件，并注意在下载的时候校验MD5或PGP，以便确认你下载的是真正的软件，而不是被别人替换过的。可参考这篇文章 其实，我甚至想极端的建议拒绝从不提供任何校验方式的下载站下载，这种 下载站要么缺乏基础的安全常识(这样他们就很难保护你的安全)，要么就是根本不负责任。

g 杀毒软件在这个时代用处不大，空占资源，还可能惹出来很多新麻烦。包括把能够保护你的软件悄悄删掉(后文会提到)。所以，如果你做到了前面几点，就别浪费 这份钱了。

2 权限，账号和共享

使用计算机是有权限的。一般来说，应该降低权限使用。不幸的是，我在很多地方看到人们大摇大摆的使用administrator(或者是具有管理员权限的 其他账号)，这是系统的最高权限，就像你这台计算机的上帝，日常用这么高权限的账号，危险啊！更糟糕的是，很多人的administrator账号没有设 置密码，或是只有简单的密码，在这个危险的世界里，这是和裸奔差不多的行为。正确的做法是：

a 给自己的日常使用建立一个权限较低的账号。甚至低到这个账号只能运行指定的程序才好。

b 前面说了，尽量不要和别人公用计算机，哪怕是家庭成员，限于现状，实在做不到的时候，也应该给其他人单独建立账号，而不要公用一个账号。这些账号的权限都 不应该太高，因为一个安全意识不强的人中招，有可能影响到所有人。一些网吧管理软件可以帮助你更好的完成这项工作。

c 设置一个复杂的密码。如果你的administrator密码为空，或是很简单，那么别人很容易通过访问C$来读取你的硬盘，这意味这对方可以拿走你硬盘 上的所有文件，管他是艳照还是商业机密。（至少在XP时代，这样还是可行的），所以，给你的administrator设置一个复杂的密码吧。

d 时常注意检查你的共享文件夹。比如说，你在家里把笔记本上的文档通过共享复制到台式机，而你忘记关闭了笔记本的共享。那么下次你去咖啡厅上网的时候，跟你 公用一个无线网络的人也可以轻松拿走这些文件。(但愿里面没有艳照...) Windows 使用管理工具->计算机管理->系统工具->共享文件夹 中可以查看哪些文件被共享了。

顺便说一句，我见过某人，从一个竞争对手的总经 理笔记本上，弄到了数G的文档，无所不包，甚至包括该公司员工的工资表，相当壮观。其实，那个可怜的家伙也没犯太大错误，无非是违背了c和d原则而已。

在Mac中，默认系统是不允许直接使用最高权限账号root的，其实这也是unix家族的传统。在需要使用管理权限的时候，会给予提示并要求输入密码(这 个特性我4年前写过一篇blog讨论 )。这个小小的技巧让系统安全性大大增加。Windows Vista似乎也采用了类似的方式，不过据说做的不好用。我没用过，就没发言权了。

Mac中，默认的共享只有一个"公共文件夹"和 其下的"投递箱"，公共文件夹是所有人都可以看到的文件，而"投递箱"是别人给你传递文件用的，顾名思义，放到这里的文件，只有你本人才能访问，哪怕投递 者本人，一旦放进去也不能再访问了。这些默认的设置很好的引导用户正确使用共享功能，降低了安全隐患。Windows通过一定设置应该也可以实现同样的效 果。

3 公共计算机安全守则

如果万一你需要在公共场合使用计算机，那么往往代表存在着极高的安全隐患。必须要提起重视。你永远也不知道你使用的这台计算机上安装了什么软件。是否有自 动屏幕截图？是否有键盘按键记录？是否记录所有发送的数据包？天，这就好像你到酒店开房，永远也不知道房间是否有隐蔽式摄像机和窃听器一样......

当然，对方可能是你很好的朋友，他并无恶意，也 没打算窃取你的机密。但是，如果他的安全意识不高，那么他早就成了别人饵下的鱼。你跑上去登录一下你的邮箱，只不过是给幕后黑手多一份惊喜罢了。

所以，同样也遵守一些守则吧：

a 不使用不加密的服务。只访问https的服务，这可以有效的避免有人记录你登录数据，所谓登录的数据就是你的用户名和密码。如果不是https的服务，那 么你的用户名和密码是用明文发出的。等于白白送给别人。

b 不要使用你最重要的邮箱。你最重要的邮箱往往是你一系列服务的基础，如果这个邮箱落到别人手里，他可以通过找回密码来搞定你所有的服务。所以，最好准备一 个备用邮箱，专门放一些不太重要的东西，以及在这种场合使用。

c 一个小技巧。输入密码的时候，先打开一个记事本，在里面胡乱按很多字符，然后用鼠标把你需要的密码字符一个个粘贴，复制到相邻的位置。然后把他们连同一些 多余字符，一起复制粘贴到密码输入框中，删去多余的字符，登录。这个技巧是为了防止计算机后台运行了键盘记录木马，鼠标位置的移动比键盘的纪录难的多，所 以经过这番折腾，能给窃取者制造一些麻烦，给你修改密码的行为争取一些时间。复制粘贴一些多余的字符，是为了防止有记录剪贴板内容的木马存在。这样他们得 到的密码是比实际多几个字符的。

d 一旦回到你的安全计算机上，必须修改你的密码。要修改的密码包括你在公共计算机上使用过的服务，也包括同名同密码的其他服务。比如 iam...@gmail.com 和 iam...@163.com两个邮箱密码相同，你只登录了后者，但是前者的密码一样要改一次。不然，假如后者密码被键盘记录器记录了，那么前者也会被 试验出来。c的技巧是为了给你争取到一些修改密码的时间。

公共计算机往往是安全泄露的重要环节，我听说过 有人网游账号被盗，有人邮箱被盗，今天还听说了一个朋友因为邮箱被盗，最终导致支付宝被盗。这些尚且是损失一点钱和时间。如果你立志做一个匿名网民，邮箱 里面有一些不想被别人知道的文档，那么...诸多血的教训一定要牢记啊。

待续，下一篇中我们将讨论什么样的网络服务比较 安全，应该选择什么样的邮箱作为主要邮箱，如何保护你的账号安全等话题。

相关文章:

• 只允许cookies进行安全传 输

Posted by virushuo on July 24, 2009 11:19 AM | Permalink

http://blog.devep.net/virushuo/2009/07/27/anonymous-security-guide-2.html

匿名网民的安全指南(2)

作者：virushuo 发表于 2009-07-27 02:07 最后更新于 2009-07-27 15:07
版权声明：可以任意转 载，转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。
http://blog.devep.net/virushuo/2009/07/27/anonymous-security-guide-2.html

---

题外话：有人问我，这么极端的安全有用吗？ 我的回答是：对某些人没用，对某些人有用，对另外一些人可以救命。

前文:匿名网民的安全指南(1)， 是关于计算机安全方面的内容

Version: 1.0b virushuo (twitter@virushuo) 20090727

注意：

1 这不是一份完整的安全手册，只是一些知识参考。但他能帮助你了解那些最重要的细节。如果有发现相关部分好的文档和教程，请提供给我，我连接上。
2 本文主要用于商业安全和个人隐私安全(包括你的私人照片，银行账号等的安全)，本文不鼓励将这种技巧用于其他用途，使用在其他用途造成的损失和后果与本文 无关，正如用菜刀杀人与磨刀的老大爷无关。
3 本人并非专业研究计算机和网络安全。只是觉得略有所知，所以分享一些常识。如有专业人士认为有错漏，请不吝赐教。virushuo( attt ) gmail.com
4 Geek的选择，geekcook.org
5 郭宝锋，你妈妈喊你回家吃饭 ，#amoiist 恭喜你成为本年度收获明信片最多的人
6 本文会时常修补增加内容，要转载请务必注明出处和以上注意事项。

账 号安全和如何选择安全的服务

使用互联网，就是在使用各种服务。对于大部分服 务来说，账号是唯一用来识别你的方式。账号安全不仅关系到你的在线数据安全，还关系到你的身份。如果对方盗用了你的账号，就很容易利用信任关系，从你的朋 友手里盗走更多的东西，并且危害你朋友的安全。这不仅在计算机安全上成立，在现实中也比比皆是，比如如果你的手机落到别人手中，对方也有可能利用你的手机 给你家人打电话说你出了车祸，急需手术费用等方式骗钱。在互联网上，不加密的情况下，你并不能知道那个熟悉的账号后面是你的朋友还是江洋大盗。所以，不仅 为了你自己，为了你和朋友们的安全，请保护好你的账号。

安全的服务至少应该提供可选的https连接方 式和一个足够复杂的验证码。来看看gmail和国内比较常用的新浪,163邮箱的对比吧。

1 复杂的验证码

一个足够安全的验证码至少要包含以下特征：

• 要有横向和纵向的随机扭曲


• 位置和大小要随机变化


• 验证码长度要随机变化


• 内容应该是字母的而不仅仅是数字


• 字体要有随机的变化


• 最好再有足够的干扰图案和条纹

目前看来，能符合以上大部分特征的服务，只有 google，yahoo和msn这3家。这样的验证码在目前的情况下OCR出结果的成功率非常低，这样对于防止暴力破解相当有效。换句话说，如果有人想 猜测你的密码，如果想解开如此复杂的验证码，只让计算机替他一个个试验是不行的，必须还需要有个真正的人来帮他做识别。这样就让破解的速度大大下降，成本 大大上升，距离安全就更近了一步。

图0:看看google的验证码，其实有时候人来辨别 也有一定困难。

国内常用的服务商中，sina和163的验证码 也算安全，虽然距离gmail尚有较大距离。第二梯队的网站的验证码通常极不安全。

图1:163的中文验证码，其实也并不是很难处理。 OCR(图像识别)软件要处理的情况通常比这个更复杂。

看看tom的，是不是觉得惨不忍睹？这种水平的 验证码OCR的成功率轻松就可以达到100%，事实上和不存在是一样的。交警用来拍违章车牌的系统，要处理的情况都要比这个复杂吧？识别率不一样在98% 以上？

图2:Tom的验证码,不堪一击

2 进行安全登录

常用google的同学会发现，当你登录 google账号的时候，地址栏上的http会自动切换到https。也就是说，google是强制使用https方式进行登录的。进行登录的时候，需要 把用户输入的用户名和密码发送给服务器，验证用户身份。如果是普通的http方式，所有传输的数据都是明文发送的，包括刚才输入的账号和密码，这种明文信 息是非常容易被截获的，数据包所经过的任何一个节点都可以轻松获取，和你在同一个局域网的用户也有可能利用arp欺骗等方式获得这些数据。想想看，你在路 边急需上网，突然发现了一个可用的无线连接，是不是很高兴？这时候，如果通过http登录了邮箱，账号就可能被泄露了。所以，强制使用https的方式进 行登录，是非常必要的安全措施。google和yahoo都已经是这样的方式了。

同样看看163和sina吧。163是可选 ssl的，默认是选中，勉强算合格。sina也可选ssl，但默认是不选中，高下立现。至于tom，似乎那个"增强安全性"被选中之后也不会通过 https登录...

图3:sina免费邮箱，"增强安全性"默认是不选中 的

3 日志功能

日志可以帮助你了解是否你的邮箱被入侵过。遗憾 的是，目前应该只有gmail具有这个功能。把页面拖到gmail邮箱的最下面，可以看到 Last account activity: 1 minute ago at this IP 字样，这里给出了最后一次账号活动的时间和ip。

图4:gmail页面尾部有log功能

按一下Detail，信息更完整，最近的所有访 问都有记录，包括IMAP方式，POP方式，WEB方式，一个也会少。有这个功能，可以很容易的知道是否有别人使用过你的邮箱。有人入侵就会留下时间和 IP。这些记录是不可被抹掉的，除非入侵google的服务器。这可不是件容易的事。

图5:gmail的活动报告

鉴于以上原因，我强烈建议使用 gmail作为你的主要邮箱，这是目前互联网上能找到的安全性最高的服务了。甚至我认为一个有理智的入侵者不应该来打你gmail的主 意，因为他们很难成功，即使成功也很难不留下痕迹。

经过以上分析可以发现，除了大的服务商， google/yahoo/msn，包括163/sina..，大部分网站是不提供https方式的登录的。所以，至少应该让你的账号分为2组，不要把普 通论坛之类的账号和邮箱账号的用户名密码相同。

update:从留言等反馈中看来，很多朋友推 荐QQMail，据说也符合以上特征，不过我没用过，也不好评价。在这些指标上可能没问题，不过根据目前大量QQ群聊天纪录轻松被某些部门拿到手的情况看 来，就算指标上没问题，实际应用效果恐怕也要打折扣。所以，还请结合用途，自行判断。

用 证书来验证对方的身份

钓鱼攻击 ，通常是伪造一个网站，诱骗用户输入一些类似账号密码的信息。这就产生 了如何验证网站身份的问题。我们如何知道打开的页面确实是google，而不是别有用心的一小撮人伪造的呢？

看页面样式？看网站地址？答案是都不可靠。网页 样式很容易做到完全一样。地址则可以注册相近的，或欺骗性比较强的域名。比如，注册一个 sina-account-service.com 自称是sina账号服务中心之类。

最稳妥的确认对方身份的方式，是通过查看证书来 确认。

大部分浏览器在访问https网站的时候都会在 显眼的地方提供查看证书的功能。一般来说应该是一个锁头一样的图标。证书可以帮助你确认站点身份，这样你就不会被钓鱼或DNS欺骗。这些具体的欺骗手法我 以后还会说到。只要判断证书是否是由是可信任的机构颁发的，是否是这个网站的正确拥有者所有，就可以知道你浏览器打开的这个网站是不是真身了。证书有问 题，那么这个网站一定有问题，这时候就不要进行登录或是找回密码或是重设密码之类的操作了，无论页面上写了什么，牢记这个原则，证书不符合，就是不可信任 的。对于163,sina这种邮箱来说，只在登陆的时候提供了ssl加密，用户在输入密码之前甚至没有机会察看一下证书，实在是令人遗憾的事。

图6:在safari中查看gmail的证书 

图7:在firefox中查看gmail的证书 

简单介绍一下钓鱼欺骗的办法吧。比如说，你收到 一封邮件，来自sina-accou...@sina.com.cn，邮件告诉你，你的sina邮箱账号被攻击，需要立刻修改密码。这时候 应该怎么办？正确的方式应该是完全不理，因为任何一个邮箱服务商不会这样给你发信。

当然，很多人觉得还是要点去看看的。于是就点了 邮件中的连接。看一看应该没什么损失嘛...是的...不过...

这时候有两种可能，一种可能是：你来到了一个叫 做 sina-account-service.com 或是干脆叫china-sina-account-service.com 的网站，页面内容和平时你使用sina邮箱的密码修改页面是一样的。这时候你会不会有可能在里面输入了密码？

有人会说了："光页面像是不行的，域名不对嘛。 " 没错，攻击者注册了sina-account-service.com 这样的域名，虽然看起来像那么回事，但是并不能骗住所有人。那么，另外一种情况：你看到的地址真的是 http://login.sina.com.cn/xxxx 这次相信了吗？这时候仍然不相信的人就不多了。

其实域名一样是可以仿造的。最简单的方法，如果 对方修改你的hosts文件，把login.sina.com.cn指向了他控制的一台服务器，那么刚才的情景就很容易发生了吧？除了改hosts这种低 级手段，还有很多其他的"高级"一点的方法，比如DNS欺骗...总之，这是完全可以实现的欺骗方法，事实也证明是带来损失最大的。

现在我们知道了，通过看域名来验证网站是否为真 的办法是不可靠的。最可靠的办法是查看证书。大多数浏览器默认的128位的证书已经非常难伪造了。256位的证书被伪造就更困难了。当然，这里说的"困难 "是伪造出一个真正的，完全一样的证书。如果只是要骗过浏览器，还有一些其他办法，特别是IE6，竟然还曾经出现过可以被伪造证书的bug。

总结一下就是：没有证书的网站 很可能是假的。错误的证书一定是假的。看起来正确的证书也存在一定可能是假的。

对证书和https方面知识有兴趣的同学，可以 去看wiki百科 SSL 和 PKI

保 护你的重要账号守则

1 选用安全级别高的服务。邮箱可以推荐gmail,yahoo mail。yahoo mail有出卖用户的恶劣记录，但仅讨论产品，仍然是最安全的邮箱产品之一。

2 如前文所述，保护好你的 计算机安全，打开防火墙，注意检测木马。

3 不要在不安全的地方使用你的重要账号。

4 选择一个足够复杂的密码，并根据重要程度增加复杂性，对于最重要的服务，不要和其他服务公用同一套账号密码。如果不能做到所有服务的密码各不相同，至少也 应该分成几个级别，对最重要的服务使用最复杂的密码，不要和其他服务使用相同的密码。随手注册的论坛之类可以使用简单密码。

5 时常检查邮箱是否有入侵迹象。

6 不信谣不传谣，什么"中奖了"，"好友请你输入账号"，"你的账号被盗用，请在此修改密码"之类的东西统统不要相信，牢牢记住，你唯一可以输入密码的情况 是：一台安全的计算机，输入密码的页面证书正确，使用https。除此之外，在任何情况下都不要输入你的账号密码。

7 应该理解，不通过https加密的登录是极不安全的。存在极大的泄露可能。注意检查证书。熟悉你使用的产品的安全特性。

8 多注册几个马甲，分为不同的安全级别，用在不同的地方，这样在最糟糕的情况下，损失也可以小一些。

如 何选择密码和密码提示问题

如果你选了一个123456作为密码，恭喜，这 是最常被用到的密码之一。如果你用了qwerty，恭喜，这也是最常用到的密码之一。至于用户名和密码一样的家伙们，你确定你真是有隐私而不是暴露狂吗？

好吧，你选了一个6位数字密码。如果你幸运的没 有选择你自己的生日，没有选择你的手机尾号，那么运气最糟糕的破解者大概要尝试10的6次方次。仅仅100万次，在这个时代，如果你的服务商没有可靠的验 证码，没有限制一天尝试密码的次数，那么这个运气最糟糕的家伙试完全部的100万次排列组合也不太可能超过24小时。这个运算能力空前强大的年代，用反复 尝试的办法来破解密码已经越来越容易了。所以必须要让密码变的更复杂。

密码提示问题是容易被忽略的地方。很多人设置一 个复杂的密码，却往往设置一个简单的密码提示问题。这就好比你家装了一把防盗性能很好的锁，但是却在门口的地毯下面藏了一把钥匙一样危险。

密码提示问题和密码应该是同等重要的，而不是注 册的时候演示的那种"你的爸爸叫什么名字"之类的愚蠢问题。

正 确的密码和密码提示问题选择守则

1 够复杂

所谓够复杂，意思是：超过8位，包含字母，数 字，不同的大小写和至少一种符号。这样的组合会让暴力破解者累死。如果你跟我一样喜欢用13位以上的长密码，那么试图暴力破解的人可能会等到他老的敲不动 键盘也拿不到你的密码。如果不是网站的服务，而是rar压缩包之类的文件密码，就更要遵守这个原则，文件打开的时候可不会问你验证码。

2 不要和你的公开信息有关

如果你遵守了1，那么也就没有这条的问题了。一 个那么复杂的密码不太可能包含直接的个人信息。如果你实在不愿意遵守1，那么，至少不要用你的生日，电话号码，门牌号这种非常容易得到的个人信息。

对了，也不要把这些东西作为问题放到你的密码提 示问题中。竟然有服务商会把默认的密码提示问题写做"我爸爸的生日"，用户也老实的跟着回答了。要知道有种东西叫做户籍系统，你以为真的没人能知道你爸爸 的生日？

3 使用不同的密码

不要给不同的服务使用相同的密码。这世界奇怪的 事情太多。你很难知道对方是否把你的密码md5之后保存了，也很难保证各服务的安全性能一样好。如果你使用了一样的密码，那么泄露一次，全盘皆输。

如果实在不想记那么多密码，那么选出来最重要的 几个，用最复杂的密码。其他的可以简单一些。其实，实在忘记，可以通过邮件来找回密码，这样邮箱安全就更重要了。
按照我的建议，你应该去注册一个gmail邮箱，然后按照原则1来设置一个13位以上的密码，然后再也不要再其他任何地方使用这个密码。

4 别把你的密码记在本子上

我常常看到，有些人使用非常复杂的密码，密码的 强度是合格的。但是他们自己也记不住。于是就写在一个小本子上，或者干脆记在一个文本文件里。这是非常危险的习惯。一旦丢失，所有的密码都丢了，而且因为 他自己并不能记住密码，小本子一旦丢掉，连去修改密码都做不到了。

最重要的几个密码一定要用脑子记住。其他的密码 可以记录下来，但是要选择一个适当的密码管理工具。如果你使用mac，那么就是Keychain Access。这是一个非常安全的工具。如果操作系统本身不带有密码管理功能，还有一些软件可以完成这个工作。 但是要注意软件来源安全(以前也讲过这个问题)，也要考虑软件本身的可靠性。

下一部分我们来探讨网络传输过程的安全，以及如 何做到真正的匿名。

相关文章:

Posted by virushuo on July 27, 2009 2:59 AM

Comments

支持了再看.辛苦了.

Posted by: cheo2ng | July 24, 2009 11:51 AM

不错，支持一个！

Posted by: XjAcKs | July 24, 2009 12:06 PM

很实用，有些方法其实自己也明白，就是做起来的 话比较麻烦，一犯懒就不会那么小心翼翼了。

Posted by: 潜行者 | July 24, 2009 12:07 PM

很实用的安全教程。而且也是一般电脑使用者容易 忽略的地方。

Posted by: 阿 本 | July 24, 2009 12:17 PM

忒麻烦鸟。。

Posted by: 快乐的小儿滨 | July 24, 2009 12:24 PM

罕见的高级扫盲贴~

Posted by: 蒙懵猛孟 | July 24, 2009 2:42 PM

支持！谢谢

Posted by: Kirk | July 24, 2009 4:13 PM

对于用户的安全需求有那么高吗?
这种需求是脱离现实的 当然不排除个别特殊情况
对于普通用户来说 装上杀毒软件是最可行的办法，即使杀毒软件如你所说用处不大。
后面繁琐的操作，真正搞安全的人自然知道。不是搞安全的人很难达到。
所以你这个扫盲文基本上不适合可适群体

Posted by: 冷焰 | July 24, 2009 6:24 PM

@冷焰

这个世界上，有很多人是急需提高自己的安全级别 的。我不指望靠一篇文章能改变什么，但是至少能告诉他们“有可能发生什么”。

Posted by: virushuo | July 24, 2009 6:33 PM

要不是术语太多,我觉得做成podcast会让 你自己舒服很多.
写这样的文章,不难,难的是打字和排版:)

Posted by: zola | July 24, 2009 7:47 PM

对于很喜欢试试新软件的网民， sandboxie也是个不错的选择，同时还能一定程度上了解该软件的行为

Posted by: Even | July 25, 2009 12:35 AM

为啥我用google阅读器订阅的你的博客，它 只能抓取到2009-02-25号的数据？

Posted by: sara | July 25, 2009 2:17 AM

@sara

我也订阅了自己，是正常了。不知道你订阅的是哪 个rss地址？建议使用：http://feeds2.feedburner.com/virushuo

Posted by: virushuo | July 25, 2009 11:55 AM

安 装干净系统，打好补丁，安装杀毒软件，防火墙，安全360，瑞星卡卡，不使用来路不明的软件，不去存在潜在危险的网页，系统账户架设密码。常常杀毒，木 马。这样子基本上就可以保证安全了。文章中的一些安全措施其实太过严格了。要是黑客真的盯上你的电脑了，那其实真的很没办法

Posted by: big | July 25, 2009 11:03 PM

关于2 权限，账号和共享，第a点，如何设置帐户只运行指定的程序？您可以给我留言，教我一下。谢谢！

Posted by: zhuzx | July 27, 2009 5:06 PM

@zhuzx

麻烦而正规的方法是使用组策略。简单省事的办法是找一个网吧的管理软件。

Posted by: virushuo | July 27, 2009 5:21 PM

Comments

一般我的密码提示问题和答案完全没有关系，类似 Q：“你的出生地？” A：“昨天吃面条”这种-o-

Posted by: Anonymous | July 27, 2009 10:50 AM

QQ邮箱也有登陆查询功能

Posted by: 潜行者 | July 27, 2009 11:19 AM

loppyeriz
Google 验证码的拼写接近于英语单词，但又不是，让英语国家的人来识别显然不困难，同时也避免了被 OCR 根据字典来识别。

Posted by: Anonymous | July 27, 2009 11:25 AM

能不能在google文档更新这个文章？这样我 能够通过申请，共享这个文章。

Posted by: 吴 志勇 | July 27, 2009 12:21 PM

Use Zoho Mail.

Posted by: nomail | July 27, 2009 12:33 PM

@吴志勇

我在google docs有一份，不过是草稿。你可以自己贴一份到google docs，只要保留声明和出处就可以了。

Posted by: virushuo | July 27, 2009 12:37 PM

我一般输入假信息~要不然太多垃圾邮件了！~
和讯 阿里就是个垃圾邮件生产地~

Posted by: 丁香五月天 | July 29, 2009 11:18 AM

---

http://www.360doc.com/showWeb/0/0/486123.aspx
非常主体 收录于2007-05-07 阅读数：     
    公众公开       原文来源　
   
个人上网安全指南

1.如果不是必须，不必填写你的个人资料。

在允许留空的地方留空就行了。

2.如果不是必须，不必填写你的真实资料。

如果可以，不妨填写一个虚拟的资料。如果你怕以后忘了，可以填写一个固定的虚拟的资料，把它保存在一个地方，如你的邮箱里。

3.Email、手机号码不要直接发布在公开显示的地方。

Email只要公开了，处于可被搜索引擎抓取的地方，100%会成为一个垃圾场。

4.避免你的昵称和真实身份联系在一起。

如果你不想让身边的人知道你网上的身份，或者不想让网上的人知道你现实的身份。

5.谨慎使用”记住密码”的功能，随时清除Cookies。

这一点对多人共用计算机适用。

6.不要一个邮箱通天下。

用于和机器打交道的Email应该和用于和人打交道的Email分开。你可以用某个信箱专门用来注册，这样可以保证最大的安全。

7.不要一个昵称通天下。

想想mop的人肉搜索吧，你应该知道，如果在多个网站、论坛使用同一个昵称，如果别人需要，很容易可以追踪到。

8.不要一个密码通天下。

至少，你使用某一个服务时，你的服务密码和在这个服务里所留的Email密码不要一样。如果你的某帐号被盗，你取回密码到邮箱，发现邮箱已经顺带被搞定 了。

9.如果短时间内有大量QQ添加你为好友，拒绝。

QQ号码申诉的条件之一就是知道你好友里的五个号码。

10.不要点击任何Email里和IM里传送过来的网址。

这话是我对菜鸟说的。如果你懂得分辨URL，自便。

---