个人账号安全检查清单

本文最后更新于2016年11月30日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

=Start=

缘由:

在GitHub上看到一个英文版的个人帐号安全检查清单,觉得不错,所以抽时间翻译了一下,希望能给自己和别人一点帮助。

正文:

采取以下步骤来保护你的设备和账户。
#笔记本电脑或电脑安全
  1. 设置复杂登录密码;
  2. 设置电脑在5分钟内无操作便自动锁屏;
  3. 需要用密码唤醒电脑;
  4. 学习键盘快捷键来锁定你的电脑 —— Windows徽标+L(Windows),Ctrl+shift+电源键/esc(Mac),或按Ctrl + alt + L(Linux);
  5. 在Mac系统的菜单栏添加密钥链状态以方便屏幕锁定;
  6. 当你远离你的电脑时,养成锁定电脑的习惯;
  7. 加密硬盘 FileVault(Mac),BitLocker(Windows)或LUKS(Linux);
  8. 开启操作系统的防火墙;
  9. 启用Mac上的隐身模式
  10. 使设备跟踪和恢复程序,比如「Find My Mac」或「Prey」;
  11. 安全存储和加密你的物理备份;
  12. 及时更新到最新版本的操作系统;
  13. 及时更新您的应用程序至最新版;
  14. Mac:不要使用你的苹果ID来登录到个人电脑,如果被黑客攻击了,它可以用来远程擦除你Macbook上的数据。所以请使用常规的用户名密码登录方式;
  15. Mac:及时更新Homebrew(brew update && brew upgrade);
#智能手机安全
  1. 在手机上使用长密码(最好是12个字符以上的数字字母混合);
  2. 在手机休眠后需要密码唤醒;
  3. 开启「Find My iPhone」或「Android Device Manager」当你的手机被偷或丢失时使用远程擦除功能;
  4. iPhone:设置成当输入错10次密码时就删除数据(需要提前做好备份);
  5. iPhone:如果你真的足够偏执,那就不要启用「Touch ID」;
  6. Android:不要使用常见的和可预测的锁定图案
  7. Android:硬盘加密;
  8. 经常更新您的操作系统和应用程序,尤其是安全补丁;
  9. 经常备份你的手机和对备份进行加密
#网络安全
  1. 找一个有信誉的VPN服务,并在笔记本电脑和手机上安装客户端用于在恶意网络(如未加密的无线网络)中使用或作为日常隐私保护;
  2. 你的浏览器上安装「HTTPS Everywhere」扩展以防止粗心的HTTP连接;
  3. 安装广告屏蔽工具,比如「uBlock Origin」,因为网络广告是一种常见的恶意软件来源;
  4. 安装插件click-to-play防止Adobe Flash的漏洞;
#账户安全
  1. 高强度的复杂密码至少有16个字符(越长越好),包含几个特殊字符(! @ # $ % ^ & *())。双因素身份验证(2FA)保护你的帐户甚至比一个强大的密码效果更好;
  2. 使用类似于「1Password」或「Encryptr」的密码管理器;
  3. 使用一个「diceware passphrase」作为你的密码管理器的密码;
  4. 把你所有的账户用户名和密码都添加到您的密码管理器里面去;
  5. 把你所有的旧的或不安全的密码通过1Password工具自动生成强密码;
  6. 确保每一个帐户的密码是独一无二的;
  7. 把任何和安全相关的问题的答案替换成错误的答案(在1Password中存储错误答案);
  8. 下载双因素身份认证应用到你的智能手机上,比如「Google Authenticator」;
  9. 把每一个支持双因素认证的帐号都加上双因素认证的功能,并把token存储在智能手机和1Password上;
  10. 在1Password上存储你的双因素认证信息;
#双因素认证
确保你的以下账户启用了两步验证:
  1. Google
  2. Amazon
  3. Facebook
  4. GitHub
  5. Dropbox
  6. Apple ID
  7. Slack – all of your Slack teams!
  8. Twitter——两步验证短信
  9. Yahoo——两步验证短信
  10. LinkedIn——两步验证短信
这是一个不完整的列表!两因素身份验证的更多信息,参见 twofactorauth.org 或 Turn It On 或 #LockDownURLogin 。

国内的话一般有以下比较重要的网站/应用(欢迎补充):
  1. 支付宝、淘宝、QQ、微信、百度、Apple ID、铁路12306、网易邮箱、金融类产品、Google、GitHub、Evernote、Dropbox;
  2. 亚马逊、京东、苏宁……电商类网站、DigitalOcean/VPS、博客后台;
  3. 其它网站;
原英文链接:
更多参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/3021.html

《个人账号安全检查清单》上有18条评论

  1. 我的通行你的证
    http://lvwei.me/passport.html

    主流盗号的八十一种姿势

    密码类漏洞-- 密码泄露、暴力破解、撞库、密码找回漏洞、社工库、钓鱼、爱情…
    登陆凭证被盗( 最常见的cookie )-- xss攻击、网络泄露、中间人攻击
    其他漏洞-- 二维码登录、单点登录、第三方登录、客户端web自动登录、绑定其他账号登录、跨域登录、oauth登陆漏洞…

  2. 如何看待支付宝 1 月 10 日被曝光的非密码登录模式下可能出现的账户安全风险?
    https://www.zhihu.com/question/54595683

    不管是密码登陆还是找回密码,本质都是一个问题就是认证你是谁。而你是谁这个问题本质是一个概率问题。
    在做帐号安全的时候主要就是一句话「verify something you remember and verify something you have」。

    还有就是:
    对于每一个用户基数巨大的应用来说,你们每增加或者改变一个功能,都会影响到数亿用户,对此你们不应该心怀畏惧么?想一想自己决策的后果,不会因此而感到害怕吗?

  3. 恶意软件分析套件
    https://github.com/ExpLife/Analysis-Tools

    恶意软件自动化分析工具
    文档分析工具
    JavaScript分析工具
    系统&文件监视工具
    shellcode分析工具
    网络分析工具
    URL分析工具
    SWF分析工具
    内存取证分析工具
    调试器
    反汇编工具
    十六进制编辑器
    查壳工具
    DNS&IP信息搜集工具
    PE分析工具
    虚拟机镜像

  4. 谈谈软件供应链污染
    http://www.freebuf.com/special/129231.html

    a) 谨慎下载免费软件,并使用虚拟机运行不明来源的软件,尽量从官网等正规渠道获取软件
    b) 操作系统中尽量使用非管理员账户
    c) 对于可疑电子邮件或图片保持警觉
    d) 不要轻信要求您下载软件的弹出窗口
    e) 安装使用防病毒软件

  5. 【安全意识】设置口令的一些小技巧
    http://blog.nsfocus.net/set-password-tips/

    1、如何设置一个健壮又好记的口令(方法:口令短语+字符替换)
    2、多个账户使用不同密码,密码健壮又好记(方法:统一密码模板+不同用途后缀)
    3、密码定期更新技巧(方法:更换统一后缀)
    4、密码分级管理(把账户按重要性分为多级,不同等级的账户采用不同模板,如:设置金钱的为1级,不涉及金钱的为2级)

  6. trape – 网络足迹追踪工具
    https://github.com/boxug/trape

    目前支持下列服务:
    Facebook
    Twitter
    VK
    Reddit
    Gmail
    tumblr
    Instagram
    Github
    Bitbucket
    Dropbox
    Spotify
    PayPal
    Amazon
    Foursquare (new)
    Airbnb (new)
    Hackernews (new)
    Slack (new)

发表评论

电子邮件地址不会被公开。 必填项已用*标注