วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (กันยายน 2024)
ความปลอดภัยไม่ใช่บางสิ่ง แต่เป็นกระบวนการต่อเนื่อง คุณไม่ปลอดภัยเพราะคุณใช้เครื่องมือเฉพาะ - คุณปลอดภัยเพราะคุณใช้ความคิดด้านความปลอดภัยทุกวัน
ใช้รหัสผ่าน คุณได้ยินเสียงเตือนความจำตลอดเวลา - อย่าใช้รหัสผ่านซ้ำในไซต์แอปพลิเคชันและบริการต่างๆ อย่าเลือกรหัสผ่านที่อ่อนแอ ใช้เครื่องมือจัดการรหัสผ่านเพื่อให้คุณสามารถเลือกรหัสผ่านที่ซับซ้อนและไม่ต้องกังวลเกี่ยวกับการพยายามจดจำรหัสผ่าน เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยหากทำได้ ทั้งหมดนี้เป็นคำแนะนำที่ดีที่ควรจดจำและปฏิบัติตาม เมื่อต้นสัปดาห์ที่ผ่านมา Neil Rubenking เพื่อนร่วมงานของฉันได้ทำการแนะนำผู้จัดการรหัสผ่านอีกขั้นตอนหนึ่งและกล่าวว่าการลงชื่อเข้าใช้เว็บไซต์บุคคลที่สามด้วย Google, Facebook, Twitter หรือข้อมูลรับรองสื่อสังคมออนไลน์อื่น ๆ ฉันไม่ซื้อข้อโต้แย้งนั้น
คุณเคยเห็นสิ่งที่ฉันพูดถึง ในขณะที่บริการส่วนใหญ่ต้องการให้คุณสร้างบัญชีจากศูนย์ แต่มีเว็บไซต์ที่คุณสามารถเข้าสู่ระบบด้วยข้อมูลประจำตัวสื่อสังคมของคุณ ตัวอย่างเช่น Expedia ช่วยให้คุณลงชื่อเข้าใช้ด้วย Facebook หรือ Inoreader (ผู้อ่าน RSS ของฉันที่เลือก) ซึ่งให้คุณเข้าสู่ระบบด้วย Google สิ่งนี้ช่วยให้คุณข้ามกระบวนการสร้างบัญชีและเพียงเข้าสู่ระบบด้วยบัญชีที่คุณมีอยู่แล้ว สะดวกใช่มั้ย มาก. มันเป็นปัญหาด้านความปลอดภัยอย่างที่นีลพูดไว้ในหนังสือหรือเปล่า? เลขที่
เมื่อใดก็ตามที่ฉันเห็นเว็บไซต์ที่อนุญาตให้ฉันลงชื่อเข้าใช้ด้วยบัญชีอื่นฉันเลือกตัวเลือกนั้น ฉันไม่ได้ใช้บัญชี Facebook เพื่อเข้าสู่ระบบ (ขออภัยด้วย Expedia) แต่ถ้ามีตัวเลือกให้ใช้บัญชี Google ของฉัน ฉันมีรหัสผ่านที่รัดกุมและซับซ้อนและฉันยังเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย ดังนั้นบัญชี Google ของฉันจึงปลอดภัยเท่าที่ฉันสามารถทำได้และฉันเชื่อว่า Google จะทำตามขั้นตอนที่จำเป็นเพื่อให้ข้อมูลของฉันปลอดภัย ไม่มีอะไรเทียบกับ Facebook แต่ฉันคิดว่าฉันได้ทำตามขั้นตอนที่ดีกว่าเพื่อปกป้องบัญชี Google ของฉันมากกว่า Facebook
ฉันเชื่อใจคุณไหม? ไม่
เมื่อฉันมาที่ไซต์และฉันต้องสร้างบัญชีความคิดแรกของฉันคือ "ฉันเชื่อใจคุณหรือไม่" ฉันเชื่อถือไซต์เพื่อให้ข้อมูลของฉันปลอดภัยหรือไม่ และฉันไม่ได้หมายถึงรหัสผ่านและหมายเลขบัตรเครดิต ฉันเชื่อถือไซต์ที่จะทำตามขั้นตอนที่จำเป็นเพื่อปกป้องหมายเลขโทรศัพท์ที่อยู่ทางไปรษณีย์และวันเดือนปีเกิดของฉันในฐานข้อมูลหรือไม่ สุจริต? สำหรับ บริษัท ส่วนใหญ่ไม่มีฉันทำไม่ได้ ความปลอดภัยของแอปพลิเคชันนั้นยาก - นักพัฒนาส่วนใหญ่ยังคงเรียนรู้วิธีปฏิบัติในการเข้ารหัสที่ปลอดภัยเช่นเดียวกับการรักษาความปลอดภัยของฐานข้อมูลอย่างมีประสิทธิภาพ นี่เป็นงานที่อยู่ระหว่างดำเนินการและหลาย บริษัท ยังไม่ได้อยู่ในเรื่องความปลอดภัย เนื่องจากฉันไม่สามารถไปถาม บริษัท ต่างๆได้ "ฉันจะเชื่อใจคุณในการรักษาความปลอดภัยของรหัสผ่านและแฮ็กเกอร์ไม่ขโมยหรือไม่" ฉันใช้เส้นทางที่ง่ายและคิดว่าฉันทำไม่ได้
จำ Gawker ที่ละเมิดไม่กี่ปีที่ผ่านมา? ที่อยู่อีเมลและรหัสผ่านทั้งหมดที่เปิดเผยเนื่องจากนักพัฒนาของ Gawker ไม่ได้ดำเนินการเพื่อให้ปลอดภัย ฉันไม่ได้บอกว่า Gawker ผิด - เป็น บริษัท สื่อและไม่มีใครคิดว่าใครจะไปหลังจากระบบแสดงความคิดเห็นของเว็บไซต์ แต่มันเกิดขึ้น ในฐานะผู้บริโภคฉันจะไม่พยายามตรวจสอบว่า บริษัท ใดที่คำนึงถึงความปลอดภัยพอที่จะเชื่อใจแอปพลิเคชันของตนและไม่ได้ ฉันจะมุ่งเน้นไปที่ผู้ที่ทำงานถูกต้อง
สิ่งสำคัญเกี่ยวกับการลงชื่อเข้าใช้ด้วยข้อมูลรับรอง Google ของฉัน: เว็บไซต์ไม่เก็บรหัสผ่านหรือข้อมูลอื่น ๆ ของฉัน เมื่อฉันคลิกที่ปุ่ม Google+ ฉันจะถูกเปลี่ยนเส้นทางไปยังหน้า Google และฉันตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ของ Google Google บอกไซต์ว่าใช่ฉันเป็นคนที่ฉันพูดว่าฉันเป็นและส่งฉันกลับไปที่เว็บไซต์ ซึ่งหมายความว่าข้อมูลของฉันยังคงอยู่กับ Google และไซต์เพิ่งได้รับโทเค็นซึ่งกล่าวว่า "เธอลงชื่อเข้าใช้สำเร็จแล้วปล่อยผ่าน"
พิจารณาไซต์ทั้งหมดที่เราเคยเห็นในช่วงสองปีที่ผ่านมา มีเว็บไซต์ที่ฉันสมัครใช้งานเพื่อดูว่ามันเป็นอย่างไรจากนั้นทิ้งหลังจากผ่านไปสองสามวันเพราะไม่ใช่สิ่งที่ฉันต้องการ หากฉันสร้างบัญชีบนเว็บไซต์ข้อมูลของฉันจะอยู่ในฐานข้อมูลของเว็บไซต์นั้น แม้หลังจากที่ฉันออกจากเว็บไซต์นั้นบัญชีของฉันยังใช้งานได้ (นี่คือเหตุผลที่ฉันไม่ชอบไซต์ที่ไม่อนุญาตให้คุณลบบัญชี แต่นั่นเป็นเรื่องราวที่แตกต่างไปจากวันอื่น) นั่นเป็นสถานที่ที่มีศักยภาพมากมายสำหรับการขโมยข้อมูลของฉัน หากฉันใช้บัญชี Google ของฉันเพื่อเข้าสู่ระบบเว็บไซต์นั้นไม่มีข้อมูลใด ๆ เกี่ยวกับตัวฉันที่จะถูกขโมย รับรองได้เลยว่า หากฉันละทิ้งไซต์นั้น Google อนุญาตให้ฉันเพิกถอนสิทธิ์การใช้งานบัญชีเพื่อให้ไม่มีใครสามารถเข้าสู่ระบบได้ในฐานะฉัน
มาพูดคุยเกี่ยวกับการเพิกถอน จุดรวมของการให้ Google, Facebook และ Twitter จัดการการเข้าสู่ระบบหมายความว่าคุณสามารถใช้พวกเขาเพื่อป้องกันการเข้าถึง ตัวอย่างเช่นฉันใช้ Google เพื่อเข้าสู่ Inoreader บอกว่าฉันไม่ต้องการใช้ Inoreader อีกต่อไป ฉันเพิ่งเข้าสู่การตั้งค่าบัญชี Google และคลิกที่ "เพิกถอนการเข้าถึง" และนั่นคือมัน นี่คือเหตุผลที่ฉันใช้ Twitter เพื่อลงชื่อเข้าใช้บางเว็บไซต์ Twitter ทำให้การตัดการเชื่อมต่อแอปพลิเคชั่นเป็นเรื่องง่ายมากเมื่อฉันทำเสร็จแล้ว
เป้าหมายของฉันคือการมีฐานข้อมูลน้อยที่สุดในโลกที่มีการบันทึกด้วยข้อมูลส่วนบุคคลของฉัน
อีกสิ่งหนึ่งที่ฉันชอบเกี่ยวกับการลงชื่อเข้าใช้ด้วย Google: รหัสผ่านเฉพาะบัญชี ฉันสร้างรหัสผ่านแบบสุ่มซึ่ง Google รู้ว่าเป็นรหัสผ่านสำหรับไซต์นั้น รหัสผ่านนั้นใช้ได้เฉพาะกับไซต์นั้นและไม่อนุญาตให้เข้าถึงสิ่งอื่นใด แทนที่จะสร้างรหัสผ่านผ่านเครื่องมือจัดการรหัสผ่านและสร้างบัญชีใหม่ฉันยังคงดำเนินการกับ Google ต่อไป ฉันใช้รหัสผ่านอื่นที่ไม่ใช่รหัสผ่านอีเมลของฉันและฉันจะข้ามกระบวนการทั้งหมดในการสร้างบัญชีโดยการใช้กลไกของ Google มันค่อนข้างมีประโยชน์ถ้าฉันลงชื่อเข้าใช้แอพมือถือ ตอนนี้ Google รู้วิธียืนยันตัวตนของฉันและเช่นเดียวกับการลงชื่อเข้าใช้ทั่วไปฉันเพิ่งเพิกถอนรหัสผ่านและแอปนั้นไม่สามารถลงชื่อเข้าใช้ได้อีกต่อไป
ติดกับคนที่คุณไว้วางใจ
Neil ถามคำถามที่ดีมาก: ถามตัวเองว่าเว็บไซต์นั้นจำเป็นต้องรู้อะไรเกี่ยวกับคุณหรือไม่ ไซต์เกี่ยวกับคุณจำเป็นต้องรู้ชื่อที่อยู่อีเมลที่อยู่จริงและหมายเลขโทรศัพท์หรือข้อมูลโปรไฟล์อื่น ๆ ของคุณหรือไม่ หากไม่เป็นเช่นนั้น เก็บไว้กับคนที่คุณไว้วางใจ
หากรหัสผ่าน Facebook ของคุณคือ "รหัสผ่าน 1" และบุคคลที่มีเจตนาร้ายแสดงถึงสิ่งนี้ใช่แล้วบุคคลนั้นจะสามารถไปข้างหน้าและลงชื่อเข้าใช้ไซต์อื่น ๆ ที่คุณเชื่อมโยงกับบัญชีของคุณ แต่วิธีนี้แตกต่างจากการที่คุณเลือก "รหัสผ่าน 1" เพื่อให้เว็บไซต์นั้นเริ่มต้นด้วยได้อย่างไร หากคุณใช้รหัสผ่านที่ง่ายต่อการจดจำสำหรับอีเมลหรือเว็บไซต์โซเชียลมีเดียของคุณแสดงว่าคุณไม่ได้ใช้ตัวอักษรจำยากสำหรับบัญชีไมล์สะสมบ่อยๆใช่ไหม? ดังนั้นรหัสผ่านที่อ่อนแอจึงส่งเสียง "แฮ็คฉัน!" ไม่ใช่ความจริงที่ว่าคุณลงชื่อเข้าใช้ด้วยบัญชีอื่น และถ้ามีใครรู้รหัสผ่าน Google ของคุณฉันไม่คิดว่าคุณกังวลมากที่สุดคือคนนั้นสามารถเข้าสู่บัญชีที่เชื่อมโยงของคุณได้หรือไม่ ไม่ใช่เมื่อมันง่ายมากที่จะขออีเมลรีเซ็ตรหัสผ่าน
ความปลอดภัยไม่มีกระสุนวิเศษ เครื่องมือที่กำหนดสามารถใช้ได้ทั้งดีและไม่ดี มันคือทั้งหมดที่คุณเข้าถึง ฉันชอบที่จะอยู่นอกฐานข้อมูล ของคุณคืออะไร
