黑客攻击的方式并非电影里那样,英雄们同时敲击键盘来抵御攻击者。对于计算机安全来说,存在着各种关于什么重要、什么不重要的误解。
我们已经讨论过如何提高在线安全性的方法,并一直在揭示从咖啡到电池等各种事物上的迷思和误解。有鉴于此,以下是一些网络安全迷思以及研究和权威来源的说法。
迷思:大多数黑客攻击是超级天才电脑宅男的作品
在电视节目中,黑客攻击涉及一位超级天才电脑高手,仅凭自身技能就能闯入网络。这种情况确实会发生,但通常更容易通过欺骗人们来达到目的。
根据Verizon 2025 年数据泄露调查报告(一项备受尊敬的网络安全研究,汇总了超过 22,000 起安全事件),现实世界中的威胁大多并非如此。报告指出,“涉及人类的泄露事件占我们审查的大多数案例”。
这是什么意思?这意味着 60% 的重大泄露事件始于某种程度的人为因素,而不是“完全自动化的漏洞利用链或导致泄露的黑客活动”。换句话说,大多数泄露事件并非始于黑客超级天才敲击代码以获取访问权限,而是始于某种形式的欺骗。
根据报告,最常见的形式是使用泄露的用户名和密码。然后是社交工程,即有人可能通过电话、短信或电子邮件联系某人,试图获取访问权限。另一个持续存在的问题是人为错误。
我在这里做了一些简化,但核心观点是,大多数安全泄露事件利用的是人而不是技术。因此,最好的防御方法就是自我教育。
迷思:双因素认证是浪费时间
每个人都讨厌要记住又一件需要跟踪的事情,所以很多人不 bother 设置双因素认证也就不足为奇了。有了双因素认证,仅凭用户名和密码不足以登录——你还需要其他东西。这可能是在你手机上的一个应用程序来确认你的身份,或者可能涉及一个物理 USB 密钥。问题是:这有点麻烦,这可能就是为什么有些人会相信它实际上并没有帮助。
但是双因素认证是有帮助的。我们上面已经讨论过,泄露的用户名和密码是泄露事件最常见的方式之一。双因素安全意味着泄露的凭证不足以让外部人员获得访问权限。根据美国网络安全和基础设施与安全局(CISA)的说法,启用双因素认证的账户被黑客攻击的可能性降低了 99%。
现在,确实并非所有双因素认证都一样——某些形式,例如短信认证,已被证明不如基于应用程序或物理认证安全。但 CISA 表示,即使是基于短信的安全也比没有好,所以如果这是唯一的选择,你不妨设置一下。是的,登录会稍微麻烦一点,但远不如数据泄露那么麻烦。
迷思:VPN 完全私密
如果你想做到私密和安全,你需要 VPN……对吧?事情没那么简单。这些服务有其用途,但有些人似乎认为它们是安全的“魔法按钮”。但事实并非如此,根据电子前线基金会的说法。
“VPN 提供商常常在其广告中过度承诺安全效益,声称 VPN 是阻止网络犯罪分子、恶意软件、政府监控和在线跟踪的唯一工具,”这家非营利研究和倡导组织写道。“但这些广告极大地夸大了 VPN 的好处。现实情况是,VPN 最适合做一件事:通过另一个网络路由你的网络连接。”
现在,这并不是说 VPN 没有用。它们确实可以保护你免受你的互联网服务提供商(ISP)的监控,但它们是通过与 VPN 提供商共享你所有的浏览活动来实现的。如果你信任 VPN 提供商,这可能没关系,这就是为什么进行研究很重要。
迷思:更新并非那么重要
说到人们不喜欢做的事情:安装更新。如果你和大多数人一样,你可能会因为不想立即重启而推迟安装手机或电脑的更新,这是可以理解的。但长期推迟更新不是一个好主意。
今年早些时候,我写了关于为什么更新实际上很重要的文章,其基本原理并不难理解。每次更新都会修补特定的安全漏洞,这很好,但这也向世界宣告了旧版本软件存在漏洞的方式。
这里有一个可以记住的比喻:想象一下,你了解到你镇上的窃贼拥有一个万能钥匙,可以打开所有 2021 年之前制造的锁,并且窃贼已经开始复制这把钥匙并相互传阅。你会更换锁吗?安全更新也是如此。
