网络安全话题一直是互联网中的热门,很多网民和管理人员都十分注重安全管理与日常维护。虽然正确的安全维护可以让系统稳定性提高,但如果在安全维护的过程中不多加注意,那么安全将不是轻易实现的。下面是十个安全错误的列表。
1. 在没有加密的电子邮件中发送敏感信息:绝对不要在没有加密的电子邮件中发送密码、个人识别号码和帐户信息。据我所知,很多人不是太懒惰就是太愚蠢,以至于不对电子邮件进行加密,但我是从不这么做。即使你需要按照他们的要求,通过电子邮件发送未加密的敏感资料,但这并不意味着你可以这样对我做,我要求所有的敏感信息必须通过加密才能发送。
2. 使用答案很容易被发现的“安全”问题:社会安全号码、母亲的婚前姓、第一只宠物和生日,这些信息并不足以构成一个核实身份的安全手段。要求用户为他或者她的密码指定一个问题,作为重置密码的一种检验手段,是必须保证所有的其它人不能轻松地找到答案,从而进行未经授权的访问。
3. 密码的限制过于严格:我曾经在一些提供类似银行服务的网站上看到一些例子。它们对密码的限制过于严格,这样让实际情况更不安全,并且也是完全不能接受的。六个字符的数字密码实在是太基础了,这样的密码只会导致失败。你可以在以前的文章,“什么是已经发生过的错误密码策略”中找到另一个更详细的例子。
4. 让供应商的界定什么是“良好的安全”:在前面我已经说过,相信供应商是一件非常愚蠢的事情。希望你记住这句话。安全产品的供应商真正关心和保护的是自身的利润和市场份额。也许有时间这会提醒供应商改善其安全产品和服务的状况,但也有时间结果反而是相反的。因此,你必须质疑供应商对“良好的安全”的定义,不能让供应商告诉你什么最重要。
5. 低估了所需的安全专业知识:公司里的实权人员往往不明白安全方面的具体问题。这不仅仅包括了非技术方面的经理,实际上IT技术经理也经常被包括在里面。实际上,象有线等效保密(WEP)不仅仅是一个简单的加密手段,它是标准工作组中很多很聪明的技术人员共同建立的依靠明确对加密算法的安全标准 ?