iT邦幫忙

2022 iThome 鐵人賽

DAY 2
2
Security

做IT必備的資安觀念!手把手帶你攻防實戰系列 第 2

Day 2 : 觀念篇 - 在踏入資安前,你應該要知道如何保護自己的個資

  • 分享至 

  • xImage
  •  

大家好,這篇我想先和大家聊聊個資的問題
在科技這麼普及、人手一機的社會裡,我們在網路上的一舉一動,其實都有可能是在洩漏我們的個資

舉個例子,大家一定很常看到這兩張圖
https://ithelp.ithome.com.tw/upload/images/20220917/20141088UBYEQACepL.png
https://ithelp.ithome.com.tw/upload/images/20220917/201410886NN6VWn0PK.png

近幾年只要你瀏覽一個新的網頁,或下載一個新的app,就會看到他們(感謝歐盟通過的法規)

這意味著什麼?

代表之前都沒有經過你的同意,就擅自蒐集你的瀏覽紀錄,或直接套用cookie在你的瀏覽器上
所以你可能遇過一個靈異事件,那就是你上一秒瀏覽過的球鞋,下一秒出現在其他網頁的廣告裡(這是因為第三方cookie的關係,後面會獨立一篇講)


再舉個例子,幾年前鬧得沸沸揚揚的手電筒事件
因為我不是用 Android,沒辦法實際在 play商店 try,只好從網路上找一下圖片
https://ithelp.ithome.com.tw/upload/images/20220917/20141088JAXgIMQqmi.jpg
(圖片來源:https://opinion.cw.com.tw/blog/profile/463/article/7961)

請問一下,一個手電筒app,為什麼要存取這麼多權限?
相信很多人在安裝app的時候,都急猴猴急猴猴的按下一步,都沒認真看他到底要你同意什麼
你看,這時候個資就外洩出去了

然後對方就會說:「don’t worry,你授權給我,不代表我會亂用阿」
這個道理就跟一個陌生人跟你說:「我有你家鑰匙,也知道你家地址,但不代表我會隨便開你家大門」
問題來了,你不會用,那你幹嘛拿?這樣你放心嗎?

誰知道他到底會不會用,你連他什麼時候會用都不知道
大概有6、7成的app,都有過度要求權限的問題

所以不管什麼時候,都要看仔細對方寫的內容,不可以盲目、急猴猴的按下一步,不該授權的就不要同意授權(很重要)


那你就會問:「我們的個資有哪些呢?」
這個問題在個人資料保護法裡有定義
https://ithelp.ithome.com.tw/upload/images/20220917/201410883nsudzv5Kp.png

:咦?你的意思是有出現在上面的都不能提供嗎?
不是啦,是叫你要「適當」的提供,不要提供一些沒必要提供的個資
就像你今天是總統,但你也不能說你想幹嘛就幹嘛,還是有一定的權限在,要通過提案或表決,才可以執行這個決策


那我們該如何保護自己的個資呢?這邊提供五個方法給各位

1. 不隨意提供個人資料
這個就是我上面提到的,當瀏覽網頁或安裝 app 時,要「多留意用戶條款」
當他要求過多的權限時,要有警覺,思考一下使用這個app是不是真的需要用到這些功能,不需要就不要授權,要有察覺「潛在危機」的能力

2. 設定安全強度高的密碼
簡單來說就是不要設弱密碼,避免使用自己的公開資訊(譬如自己的英文名字、生日…等),或是一些容易猜測的單字(flower、admin、player…等)
應該使用大小寫、數字、符號混合的高強度密碼,比較不容易被有心人士破解

3. 盡量只點擊有使用https的網址
相信大家在網路上打滾這麼久,一定或多或少看過以下兩張圖
https://ithelp.ithome.com.tw/upload/images/20220917/20141088x9vkKd6u7r.png
https://ithelp.ithome.com.tw/upload/images/20220917/20141088Qf2Nu9RFMV.jpg

這是因為你點擊的網址,沒有使用 https(HyperText Transfer Protocol Security,超文本傳輸安全協定),而是 http(HyperText Transfer Protocol,超文本傳輸協定)

有使用 https 的網站,網址會是 https 開頭,且網址列左邊會有一個鎖頭的圖示
點進去會看到一個「已建立安全連線」
https://ithelp.ithome.com.tw/upload/images/20220918/20141088sX6TPI7UP6.png

https 是 http 的延伸版,他們都是用來瀏覽網頁的通訊協定,但差異在於有沒有經過「加密」處理(絕對不是比他多個s而已)

那個s指的是 security,https 使用SSL協定作為安全憑證,所以在資料傳輸上會比 http 更加安全,可避免在傳輸過程中遭到有心人士竊取

這部分後面會拉一篇出來獨立討論,這邊先知道個大概就好


4. 防範惡意程式的入侵
現在惡意程式要入侵的方式有千百種,要避免被惡意程式入侵,最好的辦法是「避免一開始就遭到感染
所以在網路上不要隨意「打開/下載」文件、PDF檔案、網站連結
在安裝程式時,也要格外小心,確保自己沒有下載到含有惡意程式的檔案

你會說:「那可以使用防毒軟體阿」
其實效果有限,因為現在的攻擊手法越來越高招,很多都能直接繞過防毒軟體
但它對於「非針對性」的攻擊還是蠻有效的,如果是「有針對性」的攻擊,那就有很大的機率無效


5. 盡量不要使用自動登入 or 儲存密碼
當你成功登入帳號時,瀏覽器會詢問你是否儲存密碼,這樣下次就能直接登入,不用重新輸入密碼
https://ithelp.ithome.com.tw/upload/images/20220918/20141088VAEdGffzKp.png

但這樣看似方便的功能,其實相當的危險
如果你的電腦在你不知情的情況下被裝了竊取資訊的惡意程式,你又使用了儲存密碼的功能,那就會被 hacker 知道密碼了


2021年年底,有一間做防毒軟體的公司因為員工使用瀏覽器儲存密碼,而被駭客入侵
因為他的電腦早就遭到Redline Stealer這個惡意程式感染,但他並不知道,所以駭客就成功竊取到該公司內部VPN的帳號密碼

這邊提供新聞給大家參考,已經幫各位英翻中了
https://ithelp.ithome.com.tw/upload/images/20220918/20141088QMNbcWuvLf.png
(新聞連結:https://asec.ahnlab.com/en/29885/

瀏覽器儲存密碼都是明文儲存,並沒有經過加密,所以應該避免使用這類方便的功能

:可是我就很常忘記密碼阿,不使用的話我會很困擾欸

那...可能要請你多吃銀杏
沒有啦,當然要設定自己量力而為的密碼阿,不要過於複雜,你是在防 hacker,不是在防自己
真的沒辦法,可以記在手機的記事本裡,但要多留意自己的手機使用狀況,別隨意給他人使用,避免被其他人看到


以上就是今天的介紹
有一些較細的內容會放在後面講,希望大家看完這篇能對個資保護更有概念!


上一篇
Day 1 : 前言 + 撰寫原因 + 本系列期許帶給你什麼樣的「收穫」
下一篇
Day 3 : 觀念篇 - 資安入門該知道的資安基本概念
系列文
做IT必備的資安觀念!手把手帶你攻防實戰30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言