回归最本质的信息安全

一个偏执狂黑客的密码保护之道

2017年5月12日发布

4,478
0
0

导语:我所有的重要地方都使用一个超过64个字符的密码,并且永远不会写下来,这个东西必须记住。

前几天(5月4日)是一年一度的世界密码日,主要提醒用户注意保护账号。作为舶来纪念日,世界密码日前两年国内还有些声音,今年几乎看不到了,有点可惜。

刚好今天翻到一篇有意思的文章,采访的是澳大利亚安全公司Kustodian创始人Chris Rock,来聊他作为一个偏执狂黑客是如何保护个人账号安全的。其中部分点普通用户也可以借鉴,嘶吼节选翻译如下。

1-hpi5qKCoVA_73f1xwYl3sA.jpeg

先从密码开始吧,一个使用密码管理器的普通用户会感觉很自豪,但对你来说,这够好吗?

Chris Rock:对普通用户确实很有好处,我一直建议大家去使用这些东西。但是,如果真的想要保护某些数据,你必须做更多的防护,否则将很容易被突破。

要知道,骇客想黑谁,第一步就是植入木马,访问电脑,记录密码管理器解锁的键盘操作,然后他们就可以解锁所有的系统了。

不错,所以你是怎么保护密码的?

Chris Rock:我所有的重要地方都使用一个超过64个字符的密码,并且永远不会写下来,这个东西必须记住。举个例子,我有个密码是72位长度。(嘶吼注:这里更多是指服务器、个人设备、加密文件等个人可以掌控的地方,而非FB、QQ等公开网站)

普通人怎么可能会记住一个72位长度的密码?

Chris Rock:你必须记住。重复,重复,再重复。确保每两周至少在一台离线的电脑上敲一遍,这样你就不会忘记了。我使用多次加密的工具,所以如果离开会再谨慎检查一遍密码。密码不能是“Happy birthday Chris”之类的简单口令,它必须是复杂的字符和密码短语(Passphrases)组合,这样你才够安全。

你会把密码写在某个非常隐蔽的角落吗?

Chris Rock:决不!如果法官问我,“Chris,可以提供下密码吗?”,随后警察检查我的系统,我要坐25年牢。但假设我不提供,则只需要最低限度——两年。在生活中如果有什么必须做的事情,记住这个密码是一件。

好吧,你的密码可能很安全,但存储数据的设备呢?

Chris Rock:这个答案可能有点无聊。我们的客户数据主要存储在不联网设备上,所以唯一窃取的方法是物理被盗并解密。这些数据不存储在云端,不存储在文件服务器,不存储在笔记本电脑或台式机上,甚至不长途搬运和联网,这是一种理想的方式。

而保护个人数据的真正办法,是不让人看到。我经常使用小的SSD卡,比如任天堂3DS用的4G或8G存储卡,平整、黑色不显眼,可以藏在任何地方。你可以藏在墙壁里,也可以藏在猫眼和门铃里。

猫眼和门铃里?

Chris Rock:有人来清点你的财产,他们首先会拿电脑、录像机和任何带硬盘的设备。如果你在墙上打个孔,把存储卡放进去,然后糊上,这样就很难发现。但这样无法对抗灾害,水火无情,所以你还需要一个灾备体系。例如,放到邻居家,或者伪装成亲戚的东西交还过去,可能只是一个内嵌SSD卡的相框,这样就有了第二场所的备份。

除了猫眼门铃和相框,你还使用过其它的模拟方法来保护数据吗?

Chris Rock:我们通常会碰面。如果我们需要交流加密数据的密码,一般会在咖啡厅或者餐馆进行交接。你不能信任Wickr、Telegram或任何通讯应用。如果交换的数据可能存在风险,最好的方法是碰面。

本文参考自medium.com,如若转载,请注明原文地址: http://www.4hou.com/info/news/4716.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

longye

longye

嘶吼编辑

发私信

发表评论