网络消费及移动应用时代的隐私与安全

许多消费者在进行网上业务和安装移动应用时,不假思索地接受使用条款。对于大型知名的互联网业务,有监管部门、行业专家及好事者盯着,普通消费者可以放心“跟随”。然而,对于那些并非广为人知的网络应用来讲,使用条款中就存在很多猫腻、陷阱和霸王条款,如果不细看,就很可能会损害个人的在线匿名性和隐私信息,甚至遭遇身份盗窃。

这并非危言耸听,昆明亭长朗然科技有限公司网络安全研究员董志军表示:人们经常受到广告和诈骗的轰击,其来源非常广泛。传统上,代理服务机构通过地下渠道贩卖公民个人信息是主因。近年来,国民应用的链条中存在的薄弱环节,陡然成为危及公民隐私甚至国家安全的威胁。一拨一拨的整治行动,让“大厂”变得越来越谨慎小心。然而,数据交易的市场需求客观存在,于是,大量的“小厂”就开始铤而走险,不学好,尽学坏,因此,网上业务存在一些风险。当然,您可以说线上实体店内购物也存在风险,去实体店的途中面临交通事故风险,结账时面临被诈骗风险,购物后面临掠夺的风险。

为防止快递面单泄露客户数据,有些快递公司使用星号来替代姓名、地址和手机号码的一部分,或者使用隐私号码,大厂早在使用这些方法,这样做将有助于保护消费者的在线匿名性。指纹和面部识别相关的技术应用很广泛,但是指纹识别和“刷脸”存在滥用和盗用的可能,相信犯罪团伙正积极将理论应用于实践,不远的将来会有大规模“盗指纹”或“盗面部”事件发生。如果智能手机或平板电脑下载了银行或支付应用程序,最好将该设备视为钱包,不要随便给亲友使用。小孩子使用大人手机购买游戏装备、打赏网络主播的案情很多,何况大人们呢!如果手机丢失或被盗,一旦落入犯罪团伙,他们有海量用户的指纹和面部信息,可以轻松解锁手机、盗用金融和支付应用,想一想后果会有多么严重!直接和附带的损害会让一个人破产并背上巨额债务。

为避免身份盗窃,金融科技服务商已经做了很多,但是终端用户仍然很容易被击溃,痴情男子被“初识女友”哄骗,使用其手机,盗用其身份窃取财产的案子太多。柔弱女子被“高富帅”绑架、要挟或强迫,使用其身份窃取财产的案子也不少。那些社交恐惧者们,被远在天边的电信诈骗和网络钓鱼给坑的惨不忍睹,数量之大就更不用说了。

保护好自身的安全是每位网民的职责,从创建网络账号、获得手机及号码开始,就需做好个人隐私和安全保护设置,设置复杂的密码,禁用不必要的功能模块,启用多重身份验证是最基本的操作。越来越多的互联网销售将通过社交媒体进行,保护在线身份就是在保护财产和人身安全。如果内容是您不希望网络不法分子们看到的,比如驾照、身份证、家庭住址、电话号码等等,那么,就不要在社交媒体上发布。任何与工作相关的敏感信息,也都不要公开发布。必须认识到所有在线活动都是相互关联的,在保护个人信息与隐私方面,必须做出更明智的选择,以保护在线身份和匿名性。如今,想彻底擦除我们的网络足迹,隐匿于互联网江湖,是不可能的事情了,能做到的只有尽可能的保持低调,避免成为坏人的目标。

昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

浅谈身份认证及如何防范身份盗窃

身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。

有身份认证就有身份盗窃,身份盗用是故意使用他人的身份,通常是为了获得经济利益或以对方的名义获得信贷和其他利益,结果会给对方造成损失。昆明亭长朗然科技有限公司信息安全专员董志军强调说:在电子化时代,严重的身份盗窃足以让受害者破产。因此,为防范成为身份盗窃的受害者,很有必要了解身份认证措施以及身份窃贼的常见招数。

从学术上讲,身份认证通常有三类招法:

你知道什么

根据你所知道的信息来证明你的身份(what you know,你知道什么) 。

口令,我们平常用得最多的就是输入密码,也称口令,实际上就是一串字母和数字的组合。

动态口令,有没有可能每次都使用不同的口令呢?答案是肯定的,现在大家使用的网银动态口令卡就是一次性口令,One Time Password,OTP。银行和银行发放给用户的动态口令卡之间会同步产生口令,每用一次就作废,这样即使口令在传输过程中被黑客截获了也没有用,因为下一次使用的口令根本无法预测,从而大大提高了安全性。

你有什么

根据你所拥有的东西来证明你的身份(what you have,你有什么 ) 。

智能卡,智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术很容易截取到用户的身份验证信息,因此存在一定的安全隐患,如身份证。

USB令牌,是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB令牌内置的密码算法实现对用户身份的认证。

你是谁

直接根据独一无二的身体特征来证明你的身份(who are you,你是谁 ),比如指纹、面貌等。

生物特征是指唯一可以测量或可自动识别和验证的生理特征或行为方式。有学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术,将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术,将血管纹理识别、人体气味识别、 DNA识别等归为深奥的生物识别技术。目前,指纹识别技术已广泛应用于门禁系统、微信支付等。

接下来,让我们简单看一看身份窃贼如何击溃身份认证措施,进而盗窃人们的身份。同时,我们聊一聊应对之策。

针对口令,有多种破解和猜测方法,在获得口令之后,也有针对使用同样口令的撞库攻击。所以口令要复杂,要让犯罪分子难猜测和破解,还要定期更改并设置为各不相同,以防撞库。同时,在允许的情况下,启用多重身份验证措施,是加一重保障。

针对动态口令的破解难度要很高,因为动态口令就是为了弥补常规口令的不足。犯罪分子常规的方法包括窃取一次性口令设备或者冒充其他身份骗取受害者提供该口令,比如使用伪机站或远程控制木马来窃取手机验证码等。当然,还需要提高警惕,切记在任何情况下,不要将动态密码告知任何人,以防止不法分子冒充他人身份进行社会工程信息诈骗。

针对智能卡和U盾等令牌,不法分子的方式往往只能是获得实体设备,或者绕过认证系统,通常来讲,想绕过认证系统并不容易,且绕过之后损害的可不是窃取其中某一个账户。 对于使用者来讲,防范之道自然是保护好智能卡和USB身份令牌,将它们置于安全的地方或者随身携带,避免将其随意放置,在出现丢失或被盗的情况,立即报告,以防被不法分子盗用。除了获得实体认证设备之外,窃贼可能通过社会工程学骗术引诱受害者进行智能卡和USB令牌的使用及认证信息提供,比如非法克隆复制相关卡片或诱使受害者提供二维码对应的字符串。加强安全知识学习,提升防诈骗意识,对于防止社工类攻击很必要。

针对生物特征的攻击,往往包括复制他人的特征,比如偷拍面部、制作虚假车牌,偷偷提取指纹等,以及社工诈骗,比如找外貌类似的人员和诱导他人借用身份。防范之道是保护好自己的个人信息,要认识到刷脸、指纹等技术并没有传说中的那么成熟稳定,错误认证的概率仍然存在。同时,切记不要轻信他人,帮助他人进行身份的验证,即让他人借用您的身份。

简单总结一下,窃贼盗窃身份的手段有技术型的,也有非技术的社工诈骗型的,我们要保护好自己的身份免于盗窃,需要做的很多,最重要的当然是提高安全防范意识。

昆明亭长朗然科技有限公司创作了数百部网络安全教育视频课程以及宣传图片,数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识,不仅保护好了自己,也给所在工作单位带来了安全收益。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系,洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:info@securemymind.com
QQ:1767022898