Twitter即将推出双因子验证方式,这仅仅是解决社交媒体安全问题的方法之一。下文将教你如何锁定个人和企业账户。
Twitter即将推出双因子验证方式,但真正推出该验证方式还尚待时日。并且这种验证方式并无法彻底解决网络的安全问题。
钓鱼攻击便不会因为该验证方式的推出而终结,原因是钓鱼攻击总能奏效,例如最近发生的美联社Twitter帐号被盗事件。黑客的攻击手段将越来越高明,用以窃取网民的银行账户、网络证书和其他敏感数据。而宣称用于分享和连接人们生活的社交网站则是黑客的首选攻击地,即使社交网站采取更严密的保护措施如双因子验证方式也只是杯水车薪。我们是人类,而人不可避免的还是会留下漏洞。
AVG高级安全宣传官Tony Anscombe在采访中说道:“社交网站可以提高多重安全等级。然而重点不在此处,问题在于,社交网络还有众多的使用用户。”
那么难道你要就此删除你的社交账户、拔掉路由器、将手机丢入大海、彻底远离社交网络吗?保证信息安全并不需要这么夸张的举动,但的确需要采取相关措施。看看以下这些方法,也许可以帮助你更好的保护社交媒体账号。
1. 让你们猜:设置高强度密码。
这已经是老调重弹了,但依然有许多人用生日或“1234”做密码。更糟糕的是,所有的账户均使用同样的密码。这种密码设置方式是不安全的。Anscombe说道:“首先要做的就是密码设置。”密码无需设置成任意或难以记忆的字符,但一定要难以被破解。“要让黑客们难以猜出你的密码到底是什么。”
2. 检查应用程序、插件和其他设置。
Anscombe提到他在采访前检查了他的Twitter账户,并收到提示告知某些应用程序可以访问其Twitter账户。然而许多人都不记得自己在Twitter甚至是所有社交网站上都向哪些人开放了访问权限。花点时间检查下你的应用程序和其他插件,对不用或不记得已安装的程序关闭访问权限。
Anscombe说:“为了方便使用,我们会下载很多程序,然而,下载后我们不是不使用他们,就是转而使用其他程序。我们很少会检查曾经下载的程序并对其设置相应权限。”
其他潜在的安全问题:即使Twitter和某些公司推出双因子验证方式,这也并不意味着其他可访问你的个人数据的网站和程序也会采取相同验证方式。要检查在Twitter中已安装的程序,点击设置然后选择应用程序。Twitter网站的权限设置步骤是比较简单的。
3. 提高对移动设备的安全设置。
Anscombe建议:“要确保手机信息的安全性。”他补充提到大多数PC机使用者会安装一些防病毒软件,而在移动设备上则缺乏相应预防措施。移动设备用户至少要安装一款免费的安全应用。(AVG和大多数其竞争者均提供支持安卓和其他平台的免费安全防护软件。)
然而,不要以为安装了安全防护软件便能一劳永逸。Anscombe指出,譬如使用移动设备上的浏览器,用户将更容易受到钓鱼网站和类似欺诈的攻击。原因之一为移动设备屏幕尺寸较小,较难或是根本无法觉察到浏览器地址栏的URL细微变化。Anscombe解释到:“网页浏览器的布局设计是为了最大化显示阅读内容,地址栏区域并不突出,然而用户却没有对应的保护措施。浏览器这样的设计方式尽可能让用户能够方便浏览网页,但同时也增加了安全风险。”
4. 学习各大网站定期更新隐私设置。
定期检查社交网络账户的隐私和其他账户设置,保证这些设置符合你的安全需求。各大社交网站会定期修改这些设置,个人用户同样也应如此。Anscombe提醒道,否则你也许会发现你的个人信息正被用于他处。
5. 小心那些“密码验证”网站。
一个骗局往往以另一个骗局为基石。举个普通的例子,在众多高调的欺骗手法之后,又推出新的骗局:密码验证网站。来自Sophos的Paul Ducklin在其最近发表的一篇博客中提到,虽然这些网站有些时候是合法的,但他们的建立往往都是为了采取攻击并随之获取你的证书。他写道:“这听起来就像是钓鱼,对吗?可这就是钓鱼!”对于这类网站应保持高度警惕。
倘若你是企业Twitter账户和其他社交账户的负责人,你应该考虑提升这些账户的控制权。Anscombe告诉我们,即便是对管理数据安全性、外部交流、内容管理和类似领域均有严格规范的公司,也未必对他们的社交账户予以等同的重视,最后便导致了不必要的风险存在。
West Monroe Partners的IT基础设施和运营负责人Nate Ulery表示同意该观点。Twitter和其他网站的双因子验证方式会有一定成效,但别指望黑客和网络犯罪会因此而金盆洗手。
Ulery在电邮采访中说道:“尽管双因子验证将极大程度的降低社交媒体的黑客攻击风险,然而企业也应该保持警惕并加强其安全策略。例如,Facebook的标准双因子验证仅仅在用户使用新电脑或手机登陆时才要求。由于可识别设备仍可不经其他安全要求便可访问账户,安装在PC机或手机上的恶意软件也可能获取社交媒体账户。”
为提升企业级Twitter账户和其他社交账户的控制权,Ulery提出了如下建议:
6. 区分工作和个人社交账号。
Ulery提示:“必须将个人账户和企业账户分开,这样黑客攻击或是相对较不重要的个人账户不会导致企业级账户也受到威胁。”建立这道防护墙也可降低社交失误的发生,例如雇员不小心将个人信息发表至企业账户上等一些令人尴尬的错误。
7. 限制硬件和账户访问。
Ulery指出:“要限制企业级Twitter用户只能在公司网络环境下登录账户。”其他企业级社交账户也可做同样限制。假如你真的想减少威胁因素,Ulery建议还可以采取进一步措施——不支持手机访问。这点可能会让诸多社交媒体专家抓狂。
说道访问权限,来自AVG的Anscombe强调了企业应视社交媒体账户证书为企业敏感数据的重要性。仅授权工作中需要用到社交媒体的员工访问权限。越多人知道账户密码,就意味着潜在风险越大。Anscombe说:“某种程度上说,每个人都是潜在的转播器。”
8. 给与IT人员更多控制权。
这点将获得IT专员们的肯定:减少最终用户的控制权限。Ulery特别强调要使员工不能轻易对企业级社交账户做密码重设,某种程度上可加强预防外部黑客攻击。Ulery说:“可考虑使用一些邮箱专门用于密码重设,而这些邮箱非经IT部门允许则不可访问。”
9. 明确社交媒体安全策略。
不要假设所有人都能意识到社交媒体带来的风险。要在公司安全策略方面明确社交媒体使用规范。倘若你已经成立了一个高优先级用户组处理反恶意软件更新和其他安全方案,请将企业级社交媒体部门也并入其中。同样的,公司其他账户的密码使用规则也应该应用于社交账户。但记得不论社交网站采取何种安全防护,他们都不是万无一失的。
Ulery提到:“使用双因子验证并不能促使企业安全经理们放松对社交媒体安全潜在风险的相关培训,特别是因为这些均涉及到企业的品牌和声誉风险。
