Nota panduan
Hakikatnya adalah tidak mungkin untuk melindungi semua maklumat anda daripada setiap cara yang mungkin ia boleh dikompromi, jadi anda mesti memberi keutamaan. Anda harus meneruskan secara sistematik berdasarkan risiko. Anda harus mempertimbangkan nilai maklumat kepada kerja anda, dan potensi kemudaratan kepada anda dan orang lain yang mungkin timbul jika ia terjejas atau hilang. Anda juga boleh mempertimbangkan kemungkinan besar nilai itu akan direalisasikan atau bahaya tertentu akan berlaku. Ini menyediakan asas yang rasional untuk memberi keutamaan di mana anda harus menumpukan perhatian anda. Secara umum, anda mungkin mengarkibkan maklumat yang bernilai rendah dan bahaya rendah, menghapuskan maklumat yang bernilai rendah tetapi bahaya tinggi, dan menyandarkan maklumat yang bernilai tinggi dan mudarat rendah. Anda kemudiannya boleh memfokuskan pada mulanya untuk melancarkan langkah keselamatan untuk maklumat yang mewakili nilai tinggi dan bahaya yang tinggi.
Apabila anda berkongsi maklumat dengan orang lain, ia memberikan musuh anda peluang yang lebih besar untuk mendapatkan akses kepadanya - sama ada pada masa dihantar, semasa pemindahan itu sendiri atau sebaik sahaja penerima memilikinya. Anda boleh mengurangkan peluang pemintasan yang berjaya semasa pemindahan dengan menyampaikan maklumat sensitif secara bersemuka – mengambil berat tentang persekitaran anda – atau, jika itu tidak dapat dilaksanakan, melalui alat yang menggunakan penyulitan hujung ke hujung (E2EE), seperti sebagai Signal dan ProtonMail.
Apabila anda menggunakan penyulitan hujung ke hujung untuk menghantar mesej atau e-mel, ia ditandatangani (menggunakan kunci peribadi anda) dan ditukar kepada bentuk berkod (menggunakan kunci awam penerima) pada peranti anda sebelum dihantar melalui pembekal anda dan penerima dan ke peranti penerima, di mana tandatangan diperiksa (menggunakan kunci awam anda) dan mesej atau e-mel dinyahsulit ke dalam teks yang boleh dibaca (menggunakan kunci peribadi mereka). Pembekal mahupun sesiapa sahaja yang cuba memintas teks semasa pemindahan akan dapat membaca mesej tanpa usaha yang tidak praktikal.
Masih terdapat risiko dengan penyulitan hujung ke hujung. Identiti anda dan penerima – dan pautan antara anda berdua – tidak akan dikaburkan, kerana sistem perlu menghalakan mesej atau e-mel antara anda dengan betul. Baris subjek e-mel juga tidak akan disulitkan. Selain itu, walaupun mesej atau e-mel mungkin selamat semasa pemindahan, ia masih terdedah pada peranti anda atau penerima jika ia telah terjejas atau dirampas (mesej hilang mungkin mengurangkan risiko ini tetapi salinan mungkin masih wujud). Tambahan pula, menggunakan penyulitan hujung ke hujung dengan sendirinya boleh menimbulkan syak wasangka dengan pihak berkuasa, terutamanya jika terdapat larangan menggunakan teknologi sedemikian di negara anda.
Ingat, sama seperti dalam komunikasi bersemuka dengan seseorang yang belum anda temui sebelum ini, adalah penting untuk anda mengesahkan bahawa identiti orang di hujung komunikasi adalah betul dan bukannya musuh. Alat yang berbeza menyediakan cara yang berbeza untuk melakukan ini; Signal, sebagai contoh, membolehkan anda mengesahkan nombor keselamatan unik antara satu sama lain secara bersemuka atau melalui saluran komunikasi yang berbeza untuk membantu memastikan tiada serangan di tengah berlaku.
Salah satu cara paling mudah musuh boleh mendapatkan akses kepada maklumat anda adalah dengan mendapatkan akses fizikal kepada peranti anda. Mereka kemudiannya boleh membuat salinan tepat pemacu anda, sebagai contoh, atau memasang peranti pemantauan fizikal, seperti pencatat kunci.
Untuk menghalang akses sedemikian, tidak ada peraturan yang kekal dan pantas. Contohnya, membawa semua peranti anda ke protes mungkin tidak praktikal dan meningkatkan risiko peranti itu akan dirampas oleh polis. Tetapi meninggalkan peranti di rumah memberi musuh peluang untuk mendapatkan akses kepada maklumat anda tanpa pengetahuan anda. Anda harus mempertimbangkan keadaan anda dan kemungkinan niat dan keupayaan lawan anda dan membuat pertimbangan terbaik yang anda boleh dalam setiap situasi.
Adalah penting untuk melindungi akaun pada peranti anda dengan kata laluan atau kod laluan yang cukup kompleks untuk menghalang musuh daripada menekanya dalam jangka masa yang munasabah. Anda juga mungkin mempertimbangkan untuk melaksanakan ciri auto-hapus, di mana peranti akan menghapuskan kunci penyulitan untuk semua datanya jika kata laluan atau kod laluan dimasukkan dengan tidak betul beberapa kali. Tetapi berhati-hati dengan risiko mencetuskan perkara ini secara tidak sengaja dan kehilangan data anda.
Peranti moden juga biasanya membenarkan beberapa input biometrik untuk membuka peranti, seperti cap jari atau pengecaman wajah. Walaupun ini mungkin berguna, berhati-hati bahawa anda boleh dengan mudah dipaksa untuk membuka kunci peranti anda dengan cara ini tanpa perlu menyerahkan kata laluan atau kod laluan anda. Pengeluar peranti telah menyedari kebimbangan ini dan melaksanakan beberapa cara mudah melumpuhkan akses biometrik dengan cepat jika anda perlu.
Anda harus sedar bahawa mendayakan kata laluan atau kod laluan hanya boleh menghalang musuh log masuk ke akaun pengguna anda – ia mungkin tidak melindungi data sebenar. Penyerang masih boleh mengambil salinan medium storan dan memintas keperluan untuk kata laluan terus. Untuk menangani perkara ini, anda harus memastikan bahawa penyulitan cakera penuh didayakan. Ini penting untuk komputer riba dan desktop yang mungkin tidak melaksanakan penyulitan cakera penuh secara lalai.
Hampir setiap perisian yang dijalankan pada peranti menyediakan saluran yang berpotensi untuk serangan. Sehubungan itu, anda harus mengehadkan perisian yang dipasang pada peranti anda kepada yang anda perlukan sahaja. Anda juga harus kerap – dan secara automatik – menyemak kemas kini pada sistem pengendalian anda dan sebarang perisian yang dipasang dan menggunakannya secepat mungkin, kerana ia mungkin mengandungi tampal keselamatan yang penting.
Harap maklum bahawa penyerang boleh cuba mengeksploitasi nasihat ini dengan makluman palsu untuk memasang kemas kini (melalui saluran tidak rasmi) yang sebaliknya akan memasang perisian hasad pada peranti anda. Anda harus menganggap sebarang makluman sebagai petunjuk bahawa anda harus melakukan kemas kini dengan cara biasa untuk sistem pengendalian anda, dan, jika kemas kini sebenarnya tidak tersedia, maka anda mungkin telah menjadi sasaran percubaan penggodaman.
Penyulitan cakera penuh (FDE) menyulitkan hampir keseluruhan pemacu keras peranti (atau media storan luaran, seperti pemacu kilat USB), termasuk sistem pengendalian dan data anda. Ini bermakna jika peranti anda hilang, dicuri atau dirampas, musuh tidak akan dapat mendapatkan akses kepada data anda dengan hanya mengambil salinan storan. Adalah penting anda menggunakan kata laluan yang kuat dan unik apabila mendayakan penyulitan cakera penuh (dan bukan kata laluan sama yang anda gunakan untuk log masuk ke peranti anda). Walau bagaimanapun, ambil perhatian bahawa jika anda terlupa kata laluan ini, anda mungkin kehilangan akses kepada data anda. Juga ambil perhatian bahawa kata laluan FDE yang kuat akan terjejas oleh kata laluan log masuk akaun pengguna yang lemah jika ini juga boleh membuka kunci kekunci FDE. Hubungan yang tepat antara kata laluan akaun pengguna dan kunci penyahsulitan FDE akan bergantung pada peranti dan sistem pengendalian anda.
Virus ialah sejenis kod atau program berniat jahat yang mengubah cara komputer beroperasi. Perisian antivirus secara tradisinya akan mengimbas corak yang menunjukkan virus yang diketahui dan perisian hasad lain. Agar ini berfungsi dengan berkesan, antivirus mesti dikemas kini dengan corak yang perlu dicari dan perisian hasad yang berkenaan mesti ditulis pada peranti storan. Walaupun penambahbaikan telah dibuat untuk melengkapkan pendekatan berasaskan tandatangan ini dengan semakan heuristik, yang menyemak program untuk kelakuan mencurigakan yang mungkin menunjukkan virus baharu yang tidak diketahui, ini tidak cukup teguh.
Tembok api digunakan untuk mengurus sambungan dan aliran data masuk ke peranti anda dan keluar ke peranti lain. Tembok api boleh mengesan percubaan sambungan hasad masuk dan sekatnya. Walau bagaimanapun, menyekat percubaan sambungan keluar secara automatik tidak diingini, kerana ia biasanya dimulakan oleh pengguna atau program yang sah. Penyerang boleh mengeksploitasi ini dengan menghantar virus kepada anda dan menipu anda untuk mengaktifkannya. Setelah diaktifkan, perisian hasad akan mencetuskan sambungan keluar ke pelayan untuk menerima arahan, kod hasad tambahan dan untuk memindahkan data anda.
Seperti setiap langkah keselamatan, pengehadan ini bermakna kedua-dua antivirus terkini dan tembok api yang dikonfigurasikan dengan betul adalah perlu, tetapi tidak mencukupi sendiri.
Banyak peranti mudah alih mempunyai sekatan keselamatan; namun, ini tidak selalu dikehendaki atau dihargai oleh pengguna. Anda mungkin terdorong untuk memintas mereka melalui pengakar (Android) atau pecah sekat (iOS), contohnya, yang meningkatkan keistimewaan pengguna pada peranti ke tahap maksimum yang tersedia (pengakar) atau mengalih keluar beberapa sekatan pada arahan yang boleh mereka jalankan (pecah sekat). Ini meletakkan peranti dalam keadaan yang tidak dipertimbangkan oleh pereka bentuk, yang mungkin mengakibatkan peranti menjadi kurang stabil, langkah keselamatan terjejas dan menjadikannya terdedah kepada perisian hasad.
Terdapat dua elemen utama yang menentukan perkara yang boleh dilakukan oleh penyerang berhubung dengan maklumat anda: serangan permukaan (ruang) dan tetingkap serangan (masa).
Permukaan serangan itu terdiri daripada semua peranti, media storan luaran dan bahan bertulis atau bercetak di mana maklumat anda berada. Ia juga termasuk anda dan orang lain yang mengetahui maklumat tersebut. Lebih banyak salinan maklumat yang wujud, lebih besar permukaan serangan dan lebih banyak peluang yang ada untuk penyerang berjaya. Untuk mengehadkan ini, anda boleh mengehadkan di mana maklumat anda berada dan bentuknya.
Tetingkap serangan merujuk kepada masa apabila setiap komponen permukaan serangan terdedah. Maklumat yang terkandung dalam nota tulisan tangan yang dimusnahkan selepas sehari hanya terdedah untuk hari itu (dengan syarat anda tidak mengingati maklumat itu). Perkara yang sama berlaku untuk peranti anda; penyerang jauh hanya akan mempunyai peluang untuk menyerang peranti apabila ia dihidupkan dan berjalan. Dengan mematikan sepenuhnya peranti anda apabila ia tidak digunakan, tetingkap serangan dikurangkan.
Terdapat faedah keselamatan tambahan yang diperoleh daripada mematikan peranti anda. Virus hanya boleh melakukan tindakan selagi perisian yang dieksploitasinya sedang berjalan. Untuk mengatasi perkara ini, penyerang akan cuba mendapatkan kegigihan pada peranti yang terjejas supaya virus itu aktif pada bila-bila masa peranti sedang berjalan. Dengan mematikan peranti anda, ini bermakna hanya perisian hasad yang lebih canggih yang boleh mencapai kegigihan mungkin berkesan terhadap anda dalam jangka panjang. Anda juga harus mempertimbangkan untuk menghapuskan peranti anda dan memasang semula segala-galanya sekerap yang anda boleh untuk mengalih keluar kebanyakan – tetapi bukan semua – perisian hasad yang berterusan. Menhapuskan dengan kerap juga akan menggalakkan anda untuk mengehadkan perisian yang dipasang pada peranti anda kepada yang anda perlukan sahaja.
Perkhidmatan dalam talian, seperti storan awan, boleh memastikan bahawa data anda sentiasa tersedia apabila anda memerlukannya. Walau bagaimanapun, mereka berpotensi meningkatkan kedua-dua permukaan serangan dan tetingkap serangan dengan mereplikasi data anda di berbilang lokasi dan sentiasa dihidupkan.
Seperti dengan peranti anda, adalah penting untuk menggunakan kata laluan yang kukuh dan unik untuk setiap perkhidmatan dalam talian. Setiap kata laluan mestilah unik – jika tidak, kata laluan untuk satu akaun yang terjejas boleh dieksploitasi oleh penyerang untuk mendapatkan akses kepada semua perkhidmatan lain yang telah anda gunakan kata laluan yang sama. Malah sebarang corak yang anda gunakan untuk menjana kata laluan berguna kepada penyerang. (Anda boleh menyemak sama ada anda mempunyai akaun yang telah terjejas dalam pelanggaran data di Have I Been Pwned?.)
Membuat dan mengingati banyak kata laluan unik yang kuat menggunakan cara tradisional adalah mustahil dengan bilangan perkhidmatan dalam talian yang mungkin anda gunakan. Sebaliknya, anda boleh menggunakan pengurus kata laluan yang disulitkan, seperti 1Password atau LastPass, untuk menjana kata laluan yang sesuai dan menyimpan log masuk tauliah anda. Berhati-hati bahawa penyerang yang mendapat akses kepada data pengurus kata laluan anda mungkin mendapat akses kepada semua akaun dalam talian anda. Oleh itu, anda mesti memastikan bahawa kata laluan yang anda gunakan untuk log masuk ke pengurus kata laluan anda adalah kukuh, unik dan mudah diingati dan anda mendayakan pengesahan dua faktor. Memandangkan anda tidak boleh menggunakan pengurus kata laluan itu sendiri untuk menyimpan kata laluan ini, anda boleh menggunakan salah satu daripada dua kaedah yang serupa untuk mencipta kata laluan yang kuat tetapi mudah diingati secara manual. Anda juga boleh menggunakan kaedah ini untuk mencipta kata laluan untuk akaun pengguna peranti anda dan penyulitan cakera penuh:
Kaedah frasa laluan: Pilih satu set empat hingga enam perkataan yang tidak berkaitan yang anda boleh ingat kembali. Kemudian gantikan nombor atau simbol untuk beberapa huruf dalam perkataan ini (walaupun elakkan penggantian biasa, dikenali sebagai 'leetspeak', seperti 4 untuk A dan 3 untuk E).
Kaedah ayat: Pilih ayat panjang yang anda boleh ingat kembali. Bina kata laluan daripada huruf pertama setiap perkataan dan kemudian gantikan nombor atau simbol untuk beberapa huruf ini seperti di atas (sekali lagi, elakkan penggantian biasa).
Berhati-hati bahawa jika anda telah mendayakan akses biometrik kepada pengurus kata laluan anda menggunakan cap jari atau muka anda, ini juga mungkin membenarkan penyerang mendapat akses tanpa kata laluan.
Pengesahan dua faktor (2FA) ialah langkah keselamatan tambahan yang memerlukan dua bentuk pengesahan yang berbeza dan berasingan untuk mengakses sesuatu. Untuk perkhidmatan dalam talian yang menyokong 2FA, faktor pertama ialah sesuatu yang anda tahu (kata laluan anda) dengan sama ada sesuatu yang anda mempunyai (kod berangka daripada aplikasi pengesah) atau sesuatu yang diri anda ada (biometrik menggunakan cap jari, muka atau cap suara anda). Ia menambahkan lapisan keselamatan pada akaun dalam talian anda, kerana penyerang seharusnya tidak boleh mendapatkan akses hanya dengan kata laluan anda.
Sebenarnya, apabila anda dihantar kod berangka dalam mesej teks (daripada menggunakan aplikasi pengesah), ini adalah pengesahan dua langkah (2SV), kerana ia adalah sesuatu yang dihantar bukan sesuatu yang anda miliki. Ia terdedah kepada pemintasan, dan anda harus sentiasa memilih untuk menggunakan aplikasi pengesah, seperti Authy, bukannya SMS jika diberi pilihan. Tetapi pengesahan dua langkah masih lebih selamat daripada perlindungan kata laluan sahaja.
Apabila anda mengakses Internet, penyedia perkhidmatan internet (ISP) anda boleh log tapak web yang anda lawati dan mungkin berkongsi maklumat dengan pihak berkuasa. Anda boleh menggunakan perisian, dipanggil VPN atau rangkaian peribadi maya, seperti Mullvad, untuk menghantar trafik internet anda melalui terowong yang disulitkan dari peranti anda ke salah satu pelayan penyedia VPN dan kemudian ke tapak web yang anda lawati. Ini akan mengaburkan alamat IP anda daripada tapak web tersebut, ISP anda dan beberapa pengawasan berasaskan rangkaian (walaupun anda mungkin masih dijejaki dengan cara lain, seperti cap jari peranti dan penjejak tapak web).
VPN mungkin berguna apabila anda mengakses internet melalui rangkaian awam atau tidak dipercayai, seperti di kafe atau hotel. Jika pembekal rangkaian berniat jahat, mereka mungkin boleh memantau trafik dalam talian anda dan juga mendapatkan kata laluan untuk akaun dalam talian anda. Memandangkan VPN menyediakan terowong selamat dari peranti anda ke salah satu pelayan pembekal VPN, pengendali rangkaian tidak seharusnya dapat memantau aktiviti dalam talian anda yang lain.
Berhati-hati bahawa penyedia VPN atau mana-mana pusat data pihak ketiga (dan ISP mereka) yang mereka gunakan mungkin mengekalkan log trafik dan data lain yang boleh digunakan untuk mengenal pasti dan/atau menjejaki anda. Pelayan VPN juga mungkin terletak dalam bidang kuasa yang mempunyai pengawasan besar-besaran atau rejim pengumpulan pukal yang juga boleh membuka penyamaran dan aktiviti anda melalui analisis data. Anda juga harus sedar bahawa menggunakan VPN dengan sendirinya boleh mencetuskan amaran atau syak wasangka tentang anda dan bahawa VPN adalah haram atau dikawal oleh kerajaan di beberapa negara.
Apabila anda menghapuskan maklumat daripada peranti anda atau media storan luaran, keberkesanan ini mungkin berbeza-beza. Pemacu cakera keras (HDD) kebanyakannya boleh dipadamkan dengan menulis data rawak berulang kali ke seluruh kawasan storan; namun, ini tidak boleh dilakukan pada pemacu keadaan pepejal moden (SSD). Pada SSD, sejumlah besar data disimpan di kawasan yang disimpan untuk mengehadkan haus dan lusuh pada pemacu. Ini bermakna penghapusan selamat media storan yang mengandungi data tidak disulitkan mungkin tidak boleh dilakukan dengan perisian sahaja; pemusnahan fizikal pemacu yang betul mungkin satu-satunya pilihan selamat. Jika anda menggunakan penyulitan cakera penuh pada peranti – termasuk yang mempunyai SSD – maka keperluan untuk penghapusan selamat dikurangkan tetapi masih ada.
Berhati-hati bahawa tidak semua maklumat anda akan disimpan pada peranti elektronik. Anda harus menyimpan dengan selamat sebarang media fizikal yang mengandungi maklumat sensitif, seperti buku nota atau cetakan. Apabila maklumat tidak lagi diperlukan atau jika kewujudannya yang berterusan menimbulkan risiko yang terlalu besar, anda harus memusnahkannya dengan mencincang dengan mesin pencincang silang dan membakarnya, walaupun kaedah yang paling berkesan akan berbeza-beza dari medium ke medium. Kemusnahan mesti mengakibatkan sisa yang mana bahan asalnya tidak boleh dicipta semula. Jangan sekali-kali meletakkan maklumat sensitif ke dalam sampah, kerana adalah perkara biasa bagi pihak berkuasa untuk menggeledah sampah rumah dan pejabat untuk mendedahkan dokumen dan maklumat lain yang menjejaskan.