安全基礎
該標籤下有 13 篇文章
AI 時代的安全防護|個人開發者現在就該夯實的基本功(按優先級排序的清單)
AI 強化的不是『新弱點』,而是『自動、大規模地利用既有弱點』那一側。所以比起特別的新對策,按正確的順序夯實基本功才是最好的準備。CVE 立即打修補程式+相依套件監控、杜絕重複使用+MFA、清除暴露的機密、最小權限、收縮公開面、記錄/IOC 的準備、備份——全都用一份按優先級排序的清單講清楚。
AI 時代真正有效的安全對策與「無效」的那些|小站為何也會被盯上
糾正 AI 時代的 4 個迷思。①太小不會被盯上→自動化抹掉了『人來挑目標』這一步②需要特別的新對策→基本功才最強③裝個產品就安心→比起偵測,先做到『不讓它發生』的設計④AI 生成程式碼又快又安全→連漏洞一起出貨、上線前必須複查。真正有效的,是按正確順序把不起眼的基本功做紮實。
雙因素認證(MFA)如何正確選擇:比 SMS 更強的「抗釣魚」是什麼
MFA 是『即使密碼洩漏也進不來』的雙重鎖,但你配了什麼會讓強度差三檔。SMS/郵件會被釣魚中繼、SIM 交換攻破,屬於弱方式;驗證器 App(TOTP)居中;passkey/實體金鑰(FIDO2)因為『無法對假站點出示』的抗釣魚特性而屬另一檔。最優先的是給王國之鑰(信箱、網域、支付)配上抗釣魚 MFA。再加上妥善保管復原碼、準備好備用手段,才算正確的維運。
備份基礎:3-2-1 原則與抵禦 ransomware 的還原計畫
備份只是「有做」還不夠,只有「已確認可以還原」才算數。基礎=3-2-1 原則(3 份副本、2 種媒介、1 份異地)。要防 ransomware,還需要至少 1 份不是長期連接的「離線/不可變(immutable)」副本——長期連著的備份會連同本體一起被加密。雲端同步不是備份(誤刪和加密也會被同步)。多版本管理和定期還原測試才算完整的維運。
還在用 Windows 10 的人請注意:支援終止後的安全風險
Windows 10 已於 2025 年 10 月 14 日終止支援。繼續使用的最大風險是『被發現卻永遠不再修復的漏洞(forever-day)』不斷堆積,從而更容易被攻擊者盯上。面向個人的 ESU 延長只到 2026 年 10 月 13 日的一年、且只有安全修復的拖延手段(有免費的登記途徑,但 EEA 首年免費不包含日本)。正路是遷移到 Windows 11 或更新裝置,ESU 只作為完成遷移之前的『橋』來用。
攜帶筆記型電腦外出時的安全防護 — 應對失竊、遺失與偷窺螢幕
攜帶筆電外出的前提是『總有一天會丟、會被偷』。重點在於「即使丟了內容也不洩漏」的設計=①磁碟加密(BitLocker/FileVault) ②強登入+短自動鎖定 ③遠端清除/位置追蹤。隨著HTTPS普及,公共Wi-Fi被竊聽的風險下降,真正的威脅是偽AP、偷窺螢幕、離座。不要過度依賴VPN,優先做好加密與鎖定。
密碼管理器安全嗎?運作原理與雲端、本機的區別,以及如何選擇
密碼管理器比重複使用、明文保存更確實地安全。關鍵在於零知識加密=憑主密碼只有端側能解密,提供方只持有密文,所以提供方被攻破內容也不會外洩。真正的單點故障是主密碼和保險庫的 MFA。雲端型(Bitwarden/1Password)與本機型(KeePass)按用途選擇。
公共Wi-Fi的危險 — 真正可怕的不是『竊聽』,而是連上假AP和無視憑證警告
公共Wi-Fi的『竊聽』在HTTPS普及後大多已被加密,優先順序下降。真正的風險是:①自己主動連上假AP(evil twin)②無視憑證警告③把裝置暴露在同一網路裡。最強的對策出乎意料地簡單=用手機熱點、相信HTTPS和憑證警告、不自動連線陌生SSID。VPN是其次的追加手段。
個人開發 / 小規模維運的安全底線:把業界標準的對策一次配齊
最低限度的對策並非『全都一樣重』。本站的優先順序 = ①王國之鑰(多因素驗證 / 網域 / 郵件)②金鑰與程式碼 ③應用程式本體 ④修補 / 偵測 / 還原。資源有限的個人,按這個順序從上往下填才是正解。多數事故並非新型攻擊,而是這塊地基的缺口造成的。
中型到大型組織的安全底線:團隊共同守護的標準基礎
規模上來後,底線會從『檢查清單』變成『有負責人的專案』。優先順序與個人版一致=①身分②機密與供應鏈③應用程式與基礎設施④偵測與回應+貫穿全局的人與治理。最大的變化是:事故主因從『一時疏忽』轉向『人、流程、離職者權限、第三方』。
安全資產盤點 —— 個人維運多台伺服器時最易忽略的 7 項檢查
個人維運多台伺服器的事故,往往源於「沒掌握的狀態」而非「缺少防護」。要守的邊界是放置金鑰的電腦。2FA 按信任鏈分級,SSH 金鑰矩陣化以清除重複・未使用・孤兒,明文密碼從雲端清除,整改要可逆且逐項進行,台帳裡不寫機密。比起花俏的新工具,盤點更優先。
安全使用手機的基礎 —— 要守護的是把『鑰匙串、保險箱、身分證』裝進一台裝置的終端
手機是把二要素、郵件、銀行、身分證集中到一台裝置上的單點故障。防守的重點不是安全 app,而是①強鎖定畫面+短自動鎖定(密碼就是加密的鑰匙)②OS/app 自動更新 ③官方商店+權限複查 ④事先設好遺失時的遠端鎖定/清除 ⑤二要素的「備份」(紙本備份碼)。OS 預設已做加密與沙箱隔離。
把密碼存到 Google Drive 安全嗎?正確的保管方法
把密碼以明文形式集中保存在 Google 文件/試算表裡很危險。原因=一個 Google 帳號會成為全部密碼的單點故障,帳號被盜、惡意關聯應用程式、釣魚都能讓全部密碼一次性外洩。正確答案是專用密碼管理器(即使在裝置間同步,內容也保持加密)。如果非要用 Drive,那只能放加密過的管理檔案+為帳號開啟抗釣魚的 MFA。