信息安全常见误区

来源:caoz

最近安全的话题突然就爆了,几个月前我在公司内组织的安全培训的内容完全得到了验证。而稍早发的关于md5撞库和社工扫描库的博文简直就成了未卜先知。(罪过,真不是故意的,纯属巧合)。考虑到这个话题还是蛮多人在问,微博发不开,特此将一些培训中的观点整理出来,分享一下。

1. 安全是技术人员的事情

错!太多著名互联网公司因为客服,市场人员的安全意识疏忽,导致严重安全事故。安全意识必须是全员的,每一个接入公司网络的员工,每一个拥有公司邮件账号的员工,都应该具有基本的安全素质。

2. 安全就是严防死守,封堵一切入侵途径

错!封堵入侵途径是必要的,但是并不充分,要有意识的考虑,被侵入会怎样?爆库就是典型的例子,在一个真正安全的系统里,数据库被爆仍然要保障密码的安全。要做到多层防御。

3. 勤打补丁,永远第一时间更新最新版本,就不会出问题。

错!了解0day后就不会有这个想法了

4. 用正版的软件就安全

这种2b观念不解释。

5. 请了最牛的黑客,就不怕人入侵了

错!入侵只需一点突破,防护需要面面俱到。最牛的黑客来做运维,一样会有缺陷。

Hacker Inside

6. 买了最贵的防火墙,就不怕入侵了

错!防火墙挡不住0day,当然,这话有点绝对,应该说,防火墙能不能挡住0day,基本上靠运气。此外,很多防火墙自己也会出洞。

7. 我的网站没啥价值,黑客不会盯着我的

错!黑客是不会盯着你,但是也会在路过打酱油的时候干掉你。黑客有工具撒网的,不是针对你,但是很不幸你在网内。

8. 哪个无聊的黑客老盯着我?!

错!黑客没盯着你,路过打酱油的时候干掉你的。原理同上。

9. 我太懂安全了,我发现神马随机salt也好,神马前端加密也好,都不够安全,这些方法都有被破的可能,根本不值得去做!

错!继续提醒,黑客很可能是过路的,除非他死盯着你,否则计算成本稍微高一点,他就放弃了,你要相信一点,在这个互联网上有太多网站都没做好这些,黑客会先去搞那些简单的。

10. 有个安全专家给我们诊断过了,说我们系统坚如磐石,万无一失。

请向那位专家竖起您的中指。

————————————————–

补充:MD5/SHA 不安全,即便加用 salt。关于如何安全存储密码,Coda Hale 强烈建议使用 bcrypt,详情请看他的文章

 

收藏 评论

相关文章

可能感兴趣的话题



直接登录
跳到底部
返回顶部