安全基础
该标签下有 13 篇文章
AI 时代的安全防护|个人开发者现在就该夯实的基本功(按优先级排序的清单)
AI 强化的不是『新弱点』,而是『自动、大规模地利用既有弱点』那一侧。所以比起特别的新对策,按正确的顺序夯实基本功才是最好的准备。CVE 立即打补丁+依赖监控、杜绝复用+MFA、清除暴露的机密、最小权限、收缩公开面、日志/IOC 的准备、备份——全都用一份按优先级排序的清单讲清楚。
AI 时代真正有效的安全对策与「无效」的那些|小站为何也会被盯上
纠正 AI 时代的 4 个神话。①太小不会被盯上→自动化抹掉了『人来挑目标』这一步②需要特别的新对策→基本功才最强③装个产品就安心→比起检测,先做到『不让它发生』的设计④AI 生成代码又快又安全→连漏洞一起出货、上线前必须复查。真正有效的,是按正确顺序把不起眼的基本功做扎实。
双因素认证(MFA)如何正确选择:比 SMS 更强的「抗钓鱼」是什么
MFA 是『即使密码泄露也进不来』的双重锁,但你配了什么会让强度差三档。SMS/邮件会被钓鱼中继、SIM 交换攻破,属于弱方式;验证器 App(TOTP)居中;passkey/物理密钥(FIDO2)因为『无法对假站点出示』的抗钓鱼特性而属另一档。最优先的是给王国之钥(邮箱、域名、支付)配上抗钓鱼 MFA。再加上妥善保管恢复码、准备好备用手段,才算正确的运维。
备份基础:3-2-1 规则与抵御 ransomware 的恢复计划
备份只是「有做」还不够,只有「已确认可以恢复」才算数。基础=3-2-1 规则(3 份副本、2 种介质、1 份异地)。要防 ransomware,还需要至少 1 份不是长期连接的「离线/不可变(immutable)」副本——长期连着的备份会连同本体一起被加密。云同步不是备份(误删和加密也会被同步)。多版本管理和定期恢复测试才算完整的运维。
还在用 Windows 10 的人请注意:支持终止后的安全风险
Windows 10 已于 2025 年 10 月 14 日终止支持。继续使用的最大风险是『被发现却永远不再修复的漏洞(forever-day)』不断堆积,从而更容易被攻击者盯上。面向个人的 ESU 延长只到 2026 年 10 月 13 日的一年、且只有安全修复的拖延手段(有免费的登记途径,但 EEA 首年免费不包含日本)。正路是迁移到 Windows 11 或更新设备,ESU 只作为完成迁移之前的『桥』来用。
携带笔记本电脑外出时的安全防护 — 应对失窃、丢失与窥屏
携带笔记本外出的前提是『总有一天会丢、会被偷』。重点在于“即使丢了内容也不泄露”的设计=①磁盘加密(BitLocker/FileVault) ②强登录+短自动锁定 ③远程擦除/位置追踪。随着HTTPS普及,公共Wi-Fi被窃听的风险下降,真正的威胁是伪AP、窥屏、离座。不要过度依赖VPN,优先做好加密与锁定。
密码管理器安全吗?工作原理与云端、本地的区别,以及如何选择
密码管理器比重复使用、明文保存更确实地安全。关键在于零知识加密=凭主密码只有端侧能解密,提供方只持有密文,所以提供方被攻破内容也不会泄露。真正的单点故障是主密码和金库的 MFA。云端型(Bitwarden/1Password)与本地型(KeePass)按用途选择。
公共Wi-Fi的危险 — 真正可怕的不是『窃听』,而是连上假AP和无视证书警告
公共Wi-Fi的『窃听』在HTTPS普及后大多已被加密,优先级下降。真正的风险是:①自己主动连上假AP(evil twin)②无视证书警告③把设备暴露在同一网络里。最强的对策出乎意料地简单=用手机热点、相信HTTPS和证书警告、不自动连接陌生SSID。VPN是其次的追加手段。
个人开发 / 小规模运营的安全底线:把行业标准的对策一次配齐
最低限度的对策并非『全都一样重』。本站的优先级 = ①王国之钥(多因素认证 / 域名 / 邮箱)②密钥与代码 ③应用本体 ④补丁 / 检测 / 恢复。资源有限的个人,按这个顺序从上往下填才是正解。多数事故并非新型攻击,而是这块地基的缺口造成的。
中型到大型组织的安全底线:团队共同守护的标准基础
规模上来后,底线会从『检查清单』变成『有负责人的项目』。优先级与个人版一致=①身份②机密与供应链③应用与基础设施④检测与响应+贯穿全局的人与治理。最大的变化是:事故主因从『一时疏忽』转向『人、流程、离职者权限、第三方』。
安全资产盘点 —— 个人运维多台服务器时最易忽略的 7 项检查
个人运维多台服务器的事故,往往源于「没掌握的状态」而非「缺少防护」。要守的边界是放置密钥的电脑。2FA 按信任链分级,SSH 密钥矩阵化以清除重复・未使用・孤儿,明文密码从云端清除,整改要可逆且逐项进行,台账里不写机密。比起花哨的新工具,盘点更优先。
安全使用手机的基础 —— 要守护的是把『钥匙串、保险箱、身份证』装进一台设备的终端
手机是把二要素、邮件、银行、身份证集中到一台设备上的单点故障。防守的重点不是安全 app,而是①强锁屏+短自动锁屏(密码就是加密的钥匙)②OS/app 自动更新 ③官方商店+权限复查 ④事先设好丢失时的远程锁定/擦除 ⑤二要素的“备份”(纸质备份码)。OS 默认已做加密与沙箱隔离。
把密码存到 Google Drive 安全吗?正确的保管方法
把密码以明文形式集中保存在 Google 文档/电子表格里很危险。原因=一个 Google 账号会成为全部密码的单点故障,账号被盗、恶意关联应用、钓鱼都能让全部密码一次性泄露。正确答案是专用密码管理器(即使在设备间同步,内容也保持加密)。如果非要用 Drive,那只能放加密过的管理文件+为账号开启抗钓鱼的 MFA。