2.3 个人用户的隐私保护
个人用户是使用网络服务的主体,因此,信息的保护方案应由用户自主选择,但由于用户本身欠缺网络安全意识,缺乏隐私保护的技能,因此,个人用户是隐私保护的重点对象,是提升网络安全意识的重要个体。
2.3.1 隐私信息面临的主要威胁
个人用户在使用网络服务时面临的泄露威胁非常多,常见的泄露威胁包括被黑客或不法分子通过用户账号窃取隐私、通过诱导输入搜集隐私、通过终端设备提取隐私、通过黑客攻击获取隐私等。
1.通过用户账号窃取隐私
通过用户的账户信息窃取用户隐私是最简单、最直接的方式。随着互联网服务的快速发展,个人信息愈来愈多地被存储在互联网上。简单而言,通过社交网站获得用户的人际关系,通过电商网站获得用户的住址、电话等,通过支付类网站获取用户的身份信息,通过招聘网站获取用户的简历信息。如此,网络服务中包含着用户方方面面的个人信息,而这些信息数据可以通过用户的账户直接获取,所以,保护账户信息对于保护隐私和保持网络安全意识而言尤为重要。
大量的泄露事件表明,针对用户账户信息的保护非常脆弱,其中不仅包含用户自身的原因,还包括网络服务提供商和黑客等多方面原因。
对于用户本身而言,弱密码是导致大量隐私泄露事件的主要原因。研究发现,很大一部分网民为使用方便,将账户密码设置得非常简单,极易破解。2015年,美国密码安保服务商SplashData公布了全球“最弱密码”排行榜,“123456”“password”毫无意外地荣登前两位,而诸如此类的弱密码早已被整理成各种各样的字典库,作为黑客攻击活动的基础素材。根据美国加州理工大学某次安全实验统计,工作人员用网络公布的前100位弱密码对随机的邮箱地址进行检测,大约15.3%的邮箱地址可以顺利登录。虽然目前某些网站为提高密码强度要求用户输入8位以上、包含有字符、字母、数字的密码,仍然会出现新的类似的弱密码,如“1qaz@wsx”“123!@#qwe”等。这些密码虽然按要求包含了字母、数字、字符,可以通过密码安全检测,但这种依托键盘按键顺序的密码仍然是基础弱密码,极易破解。
对于服务供应商而言,市场上的服务供应商的技术实力参差不齐,部分企业员工不具备基本的安全知识,在面对黑客攻击时,不具备相应的能力保护用户的隐私信息。例如,2011年某重要网站的账户数据库泄露,导致几百万用户的账户信息被泄露,包括用户的账户、密码、其他身份信息等。更糟糕的是,数据库中的密码信息采用了明文存储,所以可以被他人直接登录,从而获取更为具体的身份信息。虽然,目前大部分网络对数据库中的私密信息都进行了类如哈希算法的加密处理,但是黑客仍然可以采取技术手段破解,可见账户数据泄露是一个严重的网络安全问题。经过数次数据库信息泄露事件,可见网络上已经积累了庞大的账户信息数据。仅以在暗网售卖的用户信息为例,我国国内被泄露的账户信息数据量就超过了50亿条,大多数用户经常使用的账户密码极有可能从中获取。
另外,随着网络技术的发展,犯罪分子的目标更加明确,攻击步骤更加清晰。部分社工库(指黑客将泄露的用户数据整合、归档,存放数据的信息库)网站或论坛将非法搜集的信息进行分类处理(像银行高净值人员信息、母婴信息、购房人员信息、购车人员信息、高校教师信息等),打包卖给有需求的人员,从事用户广告、诈骗等非法活动,严重影响网民的日常生活。
2.通过诱导输入搜集隐私
诱导输入是一种直接通过用户交互获得用户隐私信息的方法,常见的形式包括线上的账户注册和线下的问卷调查。
账户注册是在互联网上获取服务的常见步骤,很多恶意网络都会利用注册获取用户的基本信息。一般包含两个逻辑:一是账户注册时要求用户填写各种信息,往往提供简易服务但却要求填写详细的私人信息,如家庭住址、邮编、身份证号、工作地址,等等,这些信息与服务没有必然联系,所以极有可能是窃取用户个人信息;二是不提供真实服务,而是利用用户需要该项服务的急迫心理,在提供服务前要求用户填写注册信息,骗取用户隐私,当用户发现上当时,信息数据已经被储存在数据库中。
线下调查问卷也是常见的获取用户个人信息的一种方式,包括常见的纸质问卷,也包括最新的下载App、关注微信号、扫描二维码等其他方式。这种方式通常会通过奖励参与者一些小礼物,从而收集用户的个人身份、银行卡等基本信息,逐渐成为隐私泄露的重要途径。另外,很多App和微信小程序等都会要求用户将终端设备的位置信息、通讯录、照相机等授权,而用户很难分辨这些App和微信小程序要求授权的真实目的,因此,盲目授权也逐渐成为隐私泄露的重大隐患。
3.通过终端设备提取隐私
通过终端设备提取隐私是目前常见的、极其重要的一种隐私泄露途径。随着网络时代的发展,电子设备应用非常广泛,常见的终端包括笔记本电脑、手机、平板电脑、智能手表、智能手环等。这些电子设备都存储了用户大量的个人信息,是隐私泄露的重大隐患。举个例子,很多不法分子在回收二手手机后,使用数据恢复程序恢复设备中残留的网银信息、支付宝信息、照片等敏感数据,用于其他违法犯罪活动。
4.通过黑客攻击获取隐私
黑客攻击是传统获取隐私的重要方式,目前仍是隐私泄露的重要原因,黑客会攻击一些存储大量信息的数据库或网站,从而达到盗取用户个人信息的目的。
2.3.2 隐私信息保护方法
隐私泄露会给个人、机构乃至国家造成严重危害,因此,每个人都务必提高网络安全意识,提高信息保护意识,采取可靠的措施有针对性地加强信息保护。个人信息保护是一个复杂、交叉的问题,不仅需要个人的参与,更需要结合管理和技术等多个方面,依靠企业、监管部门共同协作,才会收到良好的效果。但就网络安全意识而言,个人是信息保护的先锋,是我们应该重点关注的对象。
1.加强网络安全意识和隐私保护意识
个人隐私保护是个人对于信息的保护程度,其效果取决于个人是否具备网络安全意识,以及他的意识强度。目前,各种攻击方法层出不穷,现有的安全机制和网络安全防护机制难以杜绝攻击事件,因此,只有具备较强的网络安全意识才能帮助个人抵御常规和新奇的信息泄露攻击。作为网络用户,我们理应明白互联网服务是不安全的,网络上关于个人的隐私数据越多,越容易出现泄露事件,因此,网络用户应当尽可能减少将个人真实信息发布到网络平台上,包括社交网站、邮箱服务、云盘等。用户存放在个人计算机上的数据也应当注意隐私保护,甚至可以采取加密存储、U盘物理隔离存储等方法,增强对数据的保护能力。
2.提高账户信息的保护能力
对个人用户来讲,个人信息的泄露,尤其是账户信息的泄露是隐私保护的最大风险,因此,作为网民应当采取一定的防护策略以提升账户信息的安全性。
首先,务必提高账户密码的安全性。网民应设置比较复杂、强度较高的密码,并经常更换密码,减小黑客通过密码猜测、字典破解等方式获取密码的概率。常见的密码设置策略如下:
(1)严禁使用空密码或者与用户名相同的密码。
(2)不要选择简单字符组成的密码,如123456、666666、qwerty等。
(3)不要选择可以在任何字典或语言中能够找到的密码,如iloveyou、mygodness等。
(4)不要直接使用与个人信息有关的密码,如姓名、生日、电话号码等。
(5)不要选择短于6个字符或仅包含字母或数字的密码。
(6)不要选择作为密码范例公布的密码,如admin、root、password等。
首先,一种安全的密码应该具备自己容易记、他人很难猜的特点,我们举两个例子来说明,1Hb6sqT!,这个密码包括了数字、字母和符号,常规手段难以猜测,但实际上这个密码很容易记,由“一行白鹭上青天!”的谐音和首字母拼凑组成;WdSrS8Y01r#,其实是用户设计的一句话首字母“我的生日是8月01日#”。当然,任何一个密码的使用频率变高后都有可能成为高危密码,所以用户需要定期修改密码,从而保持账户密码的安全性。
其次,除了密码本身需要设计得复杂,使之不容易被猜测以外,用户还需要对密码加强保护。由于互联网应用的安全性参差不齐,用户在注册多个账户时,应当确保重要系统的账户密码尽量不和其他系统共享使用。实验表明,同一个密码使用的地方越多,安全性越差。
最后,用户应定期检查密码的安全性。互联网上存在很多社工库网站,用户可以定期查询自己的密码是否泄露,如果密码泄露,一定要尽快修改系统所对应的密码。
3.了解常见的信息窃取手段,掌握相应的防御方法
未知攻,焉知防?当前网络攻击活动猖獗,知悉常见的网络安全攻击手法有助于提高网络安全意识,提升隐私保护能力,采取有针对性的防护方案。
黑客一般首先搜集目标用户的个人信息,包括姓名、家庭信息、工作信息、学校信息、手机号码、社交通信号码、常用邮箱等,然后猜测账户和密码并尝试登录常用的网站,一旦登录成功,即可获取用户的个人隐私信息。从防护角度讲,用户应避免在网络上发布过多的私人信息,同时,应该设置较为复杂且关联度较低的密码。
对于密码难以猜测的账户,黑客往往通过公开的社工库或者通过购买相关社工库信息进行查询。目前,常见的社工库网站包含了30多亿条账户信息,只需输入目标用户常用的邮箱或者手机号码就有可能查询到相关的账号和密码信息。查到一般账户信息的概率非常高,用户入网时间越长,被查到的概率越大,这是因为用户在网时间越长,网络上存留的个人信息越多。从防护角度讲,用户应该定期查看自己的账户信息,如果漏洞被公布,则应立即更换密码,以防出现零日(Zero-Day,0day)漏洞攻击。零日漏洞攻击又称零时差攻击,是指安全漏洞被发现后立即被恶意利用的攻击手段。
在获取用户的账号和密码后,黑客即可登录相关网站获取用户的更多隐私信息。实际上,黑客通常会进一步利用网络足迹功能扩大战果,根据该特定账号可以查出用户使用此账号注册的大量其他网站。因此,对于黑客而言,一个网站上账户的破解则意味着多个网站数据的获得。从防护角度讲,用户应该针对不同类型的网站设定不同的账号和密码,并及时注销不再使用的账户。不同网站设置不同的账号和密码对于用户背记而言的确存在很大困难,因此,建议用户对于重要的网站可以设置为部分账户相同但密码不同。