駭客來了！人們最常犯的十個安全錯誤

顯然，俄羅斯駭客成功地侵入了德國政府的電腦網。雖然不知道他們是怎麼做到這一點的，但我們知道駭客慣用的幾個攻擊途徑。防護方法並不難！

如果一個駭客開始行動，想要深入系統進行偷竊，他就需要很多的訊息。侵入電腦網絡越深，駭客就能收集越多的資料，這些資料能幫他更加深入地攻入系統。他需要的是內部訊息，比如一家公司的工作氛圍。一個資深的駭客也能夠很好地處理人際關係。

所以，網絡管理員和用戶對付駭客最大的武器就是嚴肅地執行保密步驟，減少訊息的透漏。但是在大多數公司和政府機關的工作人員很難做到這點。我們為您總結了用戶和管理員最常犯的幾個錯誤。

1、不安全的密碼

寵物名字、生活伴侶的名字、居住地點等等讓駭客輕而易舉就能找到答案的詞，都屬於最常見的不安全密碼。安全的密碼是：包含大小寫，包含數字和一些特殊的符號。另外，隔一段時間就要更換密碼。

另外，人們往往會將密碼寫在一張紙條上，貼在電腦後面的磁性板上。這樣的人如果用網路攝影機上網，那就相當於把密碼公佈在社交網站推特上。

2．一個密碼多個賬戶

一些用戶想省心省力，好幾個賬戶都用一個密碼。一名在安全敏感部門工作的員工，將工作電腦的密碼也用在運動或其它愛好的協會網站上。這給駭客提供了有機可乘的機會。特別是小型的公益性質的俱樂部，很難保持軟體的實時更新。數據安全大多不太受重視。

3．一個群體用一個密碼

有的時候，比如使用某一個軟體，許多工作人員都用同一個密碼。人們常常會將密碼存放在伺服器的某個地方，需要人的都能夠查找到。如果一個駭客侵入了普通用戶，而不是管理員的帳號，可以輕易找到這些密碼，繼續一步一步的向前挖。

4 釣魚攻擊、魚叉式網絡釣魚

駭客的首次攻擊往往從一封釣魚郵件下手。郵件會讓用戶打開裡面的附件，或者讓其點擊裡面的鏈接，這楊，用戶就會將惡意軟體加載到電腦上，並且激活軟體。許多釣魚郵件直接被阻攔到垃圾郵件一欄，人們可以容易識別它們。

魚叉式網絡釣魚是釣魚攻擊中的晉級版。駭客鎖定一個目標人，給他發一封看起來似乎別無異樣的郵件。收信者大多會點擊進去看。比如，攻擊者會將惡意軟體隱藏在給人力資源部門發的申請信中，或者放到給采購部門的郵件附件中。

5．粗心大意的管理員

訊息就是權力！尤其是那些野心十足的駭客希望能竊取到管理員的權限。那樣他們就掌控了整個系統。如果侵襲者拿到了普通用戶的帳戶，可以在內部電話簿查到IT管理員的姓名。一旦知道姓名，他們會在社交平台，比如Facebook尋找管理員的愛好以及其它的個人訊息。也許，駭客通過這個方式知道此人朋友、同事都是誰，也知道了他的生活習慣。啟動攻擊後，駭客會裝成是內部人員的樣子。人們會打開熟人的郵件。

6．零時差攻擊：利用漏洞

即使系統管理員非常小心，並定期修補應用程式，還是有可能發生這種情況：找到漏洞和修補漏洞更新完成之間要幾個月的時間。也有可能人們發現漏洞後，不能很快的更新。這時"零時差攻擊"就出現了。去年的"想哭"就讓不少電腦癱瘓，雖然當時有修補更新，但許多管理員沒有及時地進行更新操作。

7．安裝服務軟體馬虎

IT服務提供商也經常面臨相當大的時間和成本壓力。他們設置伺服器的指令時，技術人員可能會忘記更改標準訪問密碼，例如"1234"，"qwerty"或"admin"。如果一個不經心的員工接手管理，情況就不妙了。另外，經常更換員工職責，或者是頻繁換管理員也不好。

8．"說太多"的郵件伺服器

安全的郵件伺服器對外部的錯誤請求完全不回應，或者非常謹慎地進行處理。原因是：駭客通過帶有錯誤ID的郵件發送到特定的域名來獲得有價值的訊息。如果郵件伺服器發回郵件，裡面有著詳細的訊息，比如怎樣儲存郵件以及軟體版本等等，那麼，駭客就知道如何進行攻擊了。

9．沒有沙箱保護模式

如今，大多數作業系統和網絡瀏覽器都是設立了沙箱保護模式：如果駭客發動攻擊，就會被困在它最開始現身的軟體區--類似於向沙箱裡扔擲一個冒煙的火焰彈。嚴格的用戶管理才能做到這一點。惡意軟體只能破壞一部分用戶訪問的區域。 但是，如果許多用戶擁有太多權限，那麼惡意軟體會很快就會擴大。

10. 不更新軟體

最後要提醒的是：不僅是作業系統的軟體，所有的應用程式都必須要及時更新。還有，防病毒軟體仍然很重要，但它現在有點落伍，不如軟體安全構建模塊，這種模式會對自身的可疑活動做出反應。如果病毒侵入，最晚，在發現異常活動時，它就能夠識別。

德國之聲中文網