【51CTO精选译文】大家可能已经听说了又一起在线数据库攻击事件,目前已经有四百万位用户的姓名与密码被泄露到互联网当中--说不准其中就包括我们自己,这样的感觉实在不好。而且除了此次影响巨大的外泄事故之外,我们没听说过的小规模安全问题同样经常发生,并给我们的收件箱与信用卡账单带来令人不快的罪恶痕迹。
即使是像大家这样的合法公民,同样会有一些不愿与他人分享的秘密。在本文中,我们将向大家介绍五款企业级安全工具,帮助各位牢牢掌控自己的信息。更理想的是,我们甚至都不用掏出信用卡——因为它们都是完全免费的。
安全基石: KeePass
如果大家只打算从本文的推荐名单中选择惟一一款安全工具,那么KeePass是当仁不让的首选。这款免费的开源密码管理器专为Windows平台打造,当然也能通过非官方端口运行在iOS、Android、Linux以及Mac OS X当中。安全、高长度以且完全随机的密码对巩固安全大有禆益--而为每个网站与服务项目设置独立的密码更是抵御攻击活动不可或缺的关键性机制。
KeePass允许用户快速搜索密码并将其组织为一套复杂的文件夹树状体系。
绝大多数普通用户都会通过使用同一套密码内容来代替密码管理器。这就意味着一旦任何一套用户曾经登录过的网站数据库被成功入侵,黑客能够(往往也确实)利用我们的用户名和密码在其它各类网站上进行尝试以获取访问权。所以我要郑重提醒各位:为每一个注册过的网站匹配一套独特的高强度密码,无论大家打不打算实施进一步访问。
KeePass会帮助我们将所有这些用户名与密码组合存放在一套安全的加密数据库当中,并受到一套单独主密码的严格保护--我们惟一需要记住的就是这个主密码。与其商业竞争对手LastPass不同,KeePass不会自动将用户的密码数据库上传到云端(当然,大家还是可以手动将其保存在自己的Dropbox当中)。
KeePass拥有自己的一套随机密码生成器,因此大家不必再亲手编写随机密码。该工具包含一个快速搜索框,我们可以向其中输入网站名称(或者站点名称的一部分)来快速从名单中找出对应密码内容。列表本身容纳有成千上万条记录,并且可以细分到文件夹与子文件夹体系当中,这就保障了有序的组织排列。KeePass的保护对象并不局限于用户名与密码:每个条目拥有其它多个字段,包括可用于安全存储任意类型文本的自由形态文本字段。
犯罪分子们绕过密码保护机制的主要方式之一是利用键盘记录器--一款后台运行的应用程序(或者与计算机相接的物理电子狗),悄无声息地记录下用户按下的每一个按键,并等待时机将信息反馈给攻击者。一旦我们的系统上存在键盘记录器,攻击者完全有可能整理出我们一整天进行过的所有操作,包括用户名与密码输入。
KeePass利用其AutoType功能保护用户远离键盘记录器的困扰,并能帮我们免除向网站登录框手动输入密码的麻烦。KeePass会将密码内容利用虚拟按键与剪贴板的组合直接粘贴到浏览器当中,这就使攻击者很难利用键盘记录信息还原密码内容。AutoType有时候会出现支持效果不良的问题,但只要能够正常运作,它就能带来极为实用的安全保障。KeePass还允许大家在UAC(即用户账户控制)的保护下输入主数据库密码,具体方式是屏蔽所有不具备管理员权限的键盘记录功能。
下载KeePass并马上开始使用吧。您会在下一次各大网站曝出用户名与密码泄露事件时庆幸自己尽早选择了这款可靠的安全工具。#p#
文件卫士: TrueCrypt
让我猜猜:大家可能已经开始使用Dropbox、SkyDrive、Google Drive或者其它某款云文件托管服务了。这些服务意义重大,它能够实现不同计算机与移动设备之间的数据同步,并轻松实现信息的多人共享。但在这里我要曝出一点小小趣闻:您知道Dropbox员工有权访问您的文件吗?当然,我们不必害怕云存储员工对我们的信息动什么手脚,但其中还是存在着某种风险。下面要介绍的免费工具TrueCrypt就能帮我们毫不费力地对整个文件夹进行加密,这样云同步数据才真正能被我们牢牢掌握在手中。
TrueCrypt的简洁界面帮助我们指定TrueCrypt分卷并为其选择一个驱动器盘符,同时会显示当前载入分卷的一些基本信息。
TrueCrypt需要通过创建虚拟加密磁盘才能正常工作;这意味着就Dropbox而言,经过TrueCrypt加密的磁盘仅仅是一大堆由随机二进制数据组成的信息团。当然,我们只需利用TrueCrypt加载该分卷并输入正确密码,系统中就会显示出新的驱动器。我们存放在该驱动器中的每个文件都会被瞬间加密,从而避免受到窥探。而在分卷被卸载(也可以说被弹出)之后,驱动器则立即变得完全无法访问。
TrueCrypt对于安全性极为重视,甚至达到能模拟可否认加密的程度。比方说,在某些人或法律机构通过强制执行的方式促使我们交出TrueCrypt分卷密码时,它仍然能帮上大忙。而在除此之外的其它情况下,我们则根本不必担心:在我们弃用密码的同时,分卷中的数据也将一并消失。
TrueCrypt允许用户通过在TrueCrypt容器中创建隐藏分卷的方式回避强制调查。我们输入密码、解锁分卷并获得文件(这只是诱饵文件,我们需要提前保存以蒙蔽调查人员)。但只要输入另一条不同的密码,则能够解开同一分卷,却显示出完全不同的其它一些文件,这才是我们需要全力保护的敏感信息。换句话来说,既然已经逼迫我们交出了隐藏文件,对方一定不会再心生怀疑(而且根本没有办法检测出其中到底是否存在两套密码机制)。这听起来跟William Gibson的小说有异曲同工之妙,但却也的确是个很好的主意--尤其是考虑到其免费工具的身份。#p#
浏览神器: Tor Browser Bundle
合理利用KeePass与TrueCrypt已经能够轻松为我们打造出一套非常安全的个人环境。现在我们要离开基础需求的疆土,向更广阔深邃的世界迈进--这就是网络体系(这种需求在某些朋友眼中算是偏激,总之见仁见智吧)。如果大家希望自己的互联网浏览流程也能拥有安全保障,那么Tor Browser Bundle正是最好的选择。
Tor的Vidalia控制面板能够在火狐浏览器启动时自动处理各种连接,并实现各类浏览需求。
Tor提供了一种匿名的网络浏览机制。当我们与Tor连接时,所有的互联网流量都会被加密并通过路由发往一套复杂的匿名网络节点,直到数据最终到达目的地。虽然还达不到百分之百安全,但我要提醒大家,没有哪种安全方案敢自称毫无破绽。Tor诞生于2002年,目前已经在埃及及其它一些对网络活动做出限制的国家与地区进行实地测试。事实证明,它的确效果显著。
Tor Browser Bundle是一套便携式自解压软件包,其中包含一个特殊的火狐浏览器版本以及用于接入Tor网络的应用程序。解压软件包、双击"Start Tor Browser(启动Tor浏览器)",连接窗口就会直接出现并执行序列初始化。整个过程中我们都无需插手,只需稍等片刻,静候进度条走向顶端。只要与Tor之间的安全连接建立完成,火狐浏览器加载结束,我们就可以开始浏览操作。
由于 Tor会将我们的数据通过路由功能转发至多层随机端点,因此其浏览速度受到了一定影响。话说回来,大多数读者朋友估计都不需要在这样严防死守的环境下进行常规浏览。既然只是出于安全目的偶尔使用,它堪称一款杰出的解决方案,只需双击即可将复杂的安全系统简化为傻瓜操作。#p#
隐写奇术: OpenPuff
隐写术,也就是在公开内容的同时隐藏真实信息,是一种颇具传奇色彩的加密方案,其历史可追溯到古希腊。在现代化实践中,隐写术是指将数据隐藏在MP3音频或JPEG图像等媒体文件当中的做法。由于该文件在使用过程中与普通媒体无异,因此如果不是专门为了寻找隐藏数据,我们根本感知不到加密内容的存在。换句话说,大家可以将重要的文本信息隐藏在普通图像文件当中,并且在网络上进行公开。而真正的接收方则可以下载该文件并利用隐写工具及密码从文件中提取到我们想要共享的任何信息。OpenPuff正是这方面的佼佼者,强大的功能与开源特性使其成为机密工作者的首选,且能够支持包括MP3、JPEG及各类应用程序在内的多种文件格式。
OpenPuff的欢迎界面只包含了几个常用按钮,从而使这款原本复杂的应用程序得以简化。
在默认情况下,OpenPuff会要求用户输入三个不同的密码来实施信息保护,但只设定一个密码也完全没有问题。它甚至支持模拟可否认加密,这就使其拥有了非常极端的保护效果:即使有人通过某种方式察觉了图像或音乐文件中隐藏着机密信息的情况,OpenPuff仍能保护我们通过诱饵文件掩护真实数据。只需输入另一套密码,抽取出的内容就会有所不同,其蒙蔽效果可谓出类拔萃。在对方欢欣于自己的成果时,真正的秘密仍然静静躲在媒体文件当中。
隐写术在保护简短的文字讯息或其它比较简明的内容时效果很好,而且我们显然无法利用视频文件来隐藏另一个完整的视频文件,因为根本没有足够的空间来容纳这些额外字节。不过如果大家确实需要隐藏大量信息,OpenPuff还提供这样一种解决方案:将多个载体文件串连起来形成一套完整的扩展内容。要提取这类信息,收件人(或者用户自己)需要持有所有载体文件,以完全正确的顺序将其导入OpenPuff并提供正确密码。胆子小的人还是别尝试这种神秘兮兮的方案了。#p#
私聊管家: Cryptocat
如果安全流量通道与隐写术听起来像是阴谋论的衍生物,那么下面我们就介绍一种亲切而触手可及的安全隐患:聊天。在线聊天如今已经变得极为普遍、难度极低,但聊天内容的安全性则往往受到忽视。Facebook与Gmail内置的聊天客户端主要强调普及性与易用性,但却没有兼顾安全性考量。但这一被动局面被免费聊天客户端Cryptocat打破了,这款工具号称能够带来令人印象深刻的安全性与便捷性。
CryptoCat的简洁界面能帮助用户专注于对话内容。
作为一款初出茅庐的安全界新秀,Cryptocat用自己的表现证明了安全软件领域一条颠扑不破的真理:新东西往往并不好用。根据Wired网站对Cryptocat及其年仅21岁的开发者Nadim Kobeissi的讨论结果,再加上安全专家Bruce Schneier在博客中发出的警告,用户们意识到Cryptocat的安全性似乎并不像看上去那么可靠。当时的问题在于,Cryptocat处理的是主机安全端而非本地端。但这一缺陷目前已经得到解决,Cryptocat如今已经以浏览器扩展的形式进行运作以处理本地加密任务。不过这仍然是我们需要牢记的一个反例:加密软件--即使是开源加密软件--在经历全面审计与实际测试(最好以年为单位)之前仍然不见得安全。
虽然我不会在关键性业务的机密通信流程中使用Cryptocat,但它确实为谷歌及Facebook内置的交流功能贡献了一点点安全与隐私保障,而且确实易于使用。在安装Chrome或Firefox版扩展包之后,我们需要做的只是为自己的聊天室挑选句柄、标题与排版--这样大家就能与任何加入到聊天室的其他Cryptocat用户展开交流了。虽然界面采用非常古老的8位显示风格,但这却恰恰成为Cryptocat个性魅力的重要体现。这是一种与朋友之间极佳的交流途径,而且也能成为我们关注聊天安全的一种重要提醒方式。
安全一小步、努力一大步
安全软件往往会在保障力度上走向极端。大家可以创建一套小型KeePass数据库、将信息隐藏在MP3文件当中、把文件放置在TrueCrypt分卷内,并通过Tor网络在Cryptocat上与朋友们讲述这一整套流程。从实验的角度看,这么一种综合性机制似乎有点意思;但在现实生活中,只需单一最佳实践就足以显示提升安全性。如果大家只打算从本文中选择一个项目,那么KeePass是我个人的首选推荐--毕竟密码安全是最普遍也最重要的保护对象。如果大家已经在使用密码管理器,那么余下几款工具就有发挥的空间了。安全之路永无止境,只要我们深入发掘,总能在隐私保护、风险降低方面找到更理想的长效方案。#p#
五大工具一句话总结:
KeePass密码安全专业版
评分:4.5/5 概述:KeePass在保护密码安全性与独特性方面不可或缺。 优点:免费且开源,简单易用。 缺点:需要主动使用(非被动保护)。
TrueCrypt
评分:5/5 概述:这款免费的开源加密方案能够让我们安心将任何类型的文件与文件夹收纳在"保险箱"之中。 优点:分卷与磁盘级加密,算法多样,速度快。 缺点:有时候技术性太强。
Tor Browser Bundle
评分:4.5/5 概述:虽然无法与常规浏览器拼速度,但Tor Browser Bundle确实提供了一种很好的匿名浏览途径。 优点:匿名浏览网页,免费且开源。 缺点:速度略嫌迟缓。
OpenPuff
评分:4/5 概述:对于大多数人来说,隐写术还是太过夸张了。不过在必要情况下,OpenPuff仍是解决问题的利器。 优点:免费且功能强大。 缺点:操作界面需要适应。
Cryptocat
评分:4/5 概述:Cryptocat是一款简单、友好的聊天方式,而且与同类方案相比安全性略胜一筹。 优点:免费、简便、精致。 缺点:尚未完成经受现场测试与审计的考验。
原文链接:
