在我的成长过程中，大斋节意味着我要放弃一些东西。今年，我决定不放弃一些东西，而是帮助我周围的人清理他们的安全，并建议你反过来帮助一个朋友。统计数据显示，你可能认识一些人，他们需要一只手来改变他们最恶劣的电子安全习惯——也许我们应该称之为“不安全习惯”。没有人是完美的，但这三个最初的步骤将帮助你的朋友。

1.密码

我最喜欢从哪里开始!

• 不要在所有网站和应用程序上使用相同的密码。是的，现在是2016年了，但最近我试图重置密码时，一个网站把我的明文密码发给了我。这意味着该网站并没有以散列形式存储数据，这意味着他们很容易受到攻击——以及在他们的网站上有账户的每个人。如果黑客获得了你的一个密码，他们现在就可以访问多个网站。

• 使用密码管理器。你的朋友还得再记一个质量密码，但仅此而已。建议你的朋友选择一款可以安装在智能手机上并具有强加密功能的软件(例如AES 256)。在这个工具中保存私人信息——不要把你的护照和社会安全号码记在便签上，因为这些记录需要保护。通常，密码管理器为每个帐户都有几个额外的字段，这些字段可以用来存储挑战问题的答案，比如“你母亲的婚前姓是什么?”

• 使用强密码。它很容易记住，但password1和类似的其他很容易击中当运行密码破解。你的朋友现在有一个密码管理器，让它生成密码——这个任务的自动化实际上是密码舞蹈的一步。

• 坚持双重认证。当你的朋友使用包括电子邮件在内的重要账户时(你认为银行会把密码重置链接发送到哪里?)，他们应该要求把密码发送到他们的手机上。如果他们在没有登录他们的账户时收到短信，他们就会知道他们已经被攻击了，如果没有被泄露的话。

2.移动设备

十年前，它只覆盖了笔记本电脑和掌上电脑，而现在它的意义远不止这些。你朋友的健身手表，即使配对后，可能仍然在通信中广播自己的身份——这很有趣，因为这意味着你的朋友可以在他穿过商场或杂货店时被跟踪，甚至可以从多个来源收集数据来进一步分析他们。我们不能阻止一切，但你的朋友也可以采取一些步骤。

• 购买设备时应询问安全问题．这有几个目的。首先，它会告诉你制造商在声明什么——这对你朋友的教育很重要，将来他或她可能需要证明安全声明是以一种明确传达的方式提出的。第二个目的是让我们所有人推动市场。通过询问销售人员有关安全功能的问题，它提供反馈，他们反过来用这些反馈通知批发代表，并提供零售重新订购标准。这些信息绝对会回到营销部门，反过来帮助资助工程工作，以保护我们所有人。

• 更新设备的操作系统和固件。这比大多数人意识到的更重要。当一个设备有一个旧版本的固件，特别是一个可以识别的版本，该设备将成为目标。一旦知道了操作系统或固件，就可以使用一系列工具进行攻击。你的朋友可能会想“我有什么要隐瞒的?”“但事实是，他们的身份，访问他们的设备，访问他们的通信，在物理安全设备的情况下访问他们的家，以及访问他们的金融机构，都处于危险之中，他们不知道的事情可能会伤害他们。

• 不要直接插入USB充电口。USB数据线可以传输电源和数据;你的朋友需要关心的是后者。插入墙上的USB端口或飞机上座椅靠背控制台上的USB端口可能看起来很方便，但你插入的是一个可能被入侵的黑匣子，或者端口可能被其他联网设备访问。一旦你直接把你的设备插上，暴力攻击就容易多了。使用墙上插座的电源适配器，或者找一个能让你把USB插到适配器上的设备，这种适配器能把数据线从USB上剥离下来，只允许电源通过。

• 设置强访问码。就像上面的密码一样，你朋友的设备不应该有1234或1111这样的密码。说服他们使用字母数字代码或复杂的手势。特别是如果他们的设备有指纹扫描仪这样的生物识别读取器，他们就没有理由不设置更难猜到的密码。

3.警惕

其中一些似乎是常识，但我可以向你和你的朋友保证，我继续遇到简单的社会惯性(“我们一直都是这样做的”)在我们彼此互动中发挥重要作用的例子。以传真机为例。传真不安全。医疗保健提供商需要停止使用20世纪90年代的技术来传输我们“受保护”的健康信息。

• 用电子邮件发送重要文件。2015年，我对我的房子进行了再融资。在此过程中，关键文件以纯文本或未加密附件的形式通过电子邮件发送给我。我的期望是，我要审阅它们，完成它们，签署它们，扫描它们，然后通过电子邮件发送回来。当我指出这个问题时，我被告知他们通过这种方式接收了数千份文件，而且IT部门表示没问题。这是不对的。电子邮件的底层协议可能会在沿途的服务器上留下你朋友的电子邮件副本，这些副本可能会落入坏人之手。此外，如果你朋友的电子邮件账户被泄露，在搜索财务数据时，“已发送”文件夹中的那些文件将被扫描。不要发电子邮件，让你的朋友要求对方提供一个安全的入口，在那里你可以上传文件。

• 社会工程和网络钓鱼。令人失望的是，我们用这些可爱的术语来描述真实发生的事情:欺诈。提醒你的朋友在电话中保持警惕，不要泄露机密信息，比如他们是否在家，或者他们直接下属的名字。当你的朋友收到一封带有链接的电子邮件时，尤其是来自银行的，千万不要点击这个链接。相反，你的朋友应该直接从书签或输入导航栏进入银行网站(即使是电子邮件链接出现安全的，它可能有一个字母的URL看起来类似于我们的字母表，但实际上使用替代语言/编码来显示有效)。你的朋友应该知道他们在向谁提供什么信息，以及他们如何知道他们在和谁说话。

• 储存信用卡。简单地说，强烈建议你的朋友不要这样做。不输入它非常方便，但你的朋友需要知道，如果他们在该商家的账户被泄露，攻击者可以更改发货地址，并使用存储的支付信息订购商品或服务。如果你的朋友没有听从你的建议，在多个网站上使用相同的密码，当一个网站被入侵时，他们也可能很容易受到攻击

• 质疑共享数据的必要性。这最后的意识步骤可能是我们都质疑过的事情之一，但我们需要做得更多。向我购买运动衫的公司不需要我为这笔交易创建一个账户。如果我创建了一个帐户，我当然不会提供所有挑战问题的答案。他们不需要知道他们所询问的大部分信息。鼓励你的朋友尽可能地反击，或者提供不泄露机密的答案。这不仅仅是在线表格，商家还想知道你朋友的邮政编码、电话号码或电子邮件地址。只有当你的朋友想与商家交流时，这些数据才需要共享。

现在你已经看了这些给你朋友的推荐，也许有几件事也让你印象深刻。别忘了把这些建议转发给你的朋友，这样今年你就可以帮助他们了。

布莱恩的用具他是CableLabs的一名安全架构师，专注于物联网的密码亚博yabo888vip网页版学和安全性——他研究的东西包括恒温器，它可以让冰箱共享使用数据并加入它们的僵尸网络。遵循布莱恩在推特上．