網路我們能與世界交流、找到原本四散各地卻志同道合的人所聚集成的專屬社群、或是服務那些無論是不喜歡是無法親自到店面購物的顧客。
儘管網路為我們帶來種種優勢,卻仍有風險存在,其中最要注意的是您的個人資料、網站,以及域名。
以下是保護您與網站安全的 10 項技巧。

1. 使用不同密碼

我們必須再次強調為每個帳戶設置專屬密碼的重要性。銀行密碼應該要與電子信箱密碼不同,也與您域名註冊商介面上的密碼不一樣。當然,您的網站登入密碼也應當不同。
由於上述每一組密碼都該使用高強度密碼,因此您考慮將密碼儲存在密碼管理工具中。

為什麼需要這麼多密碼?

我們聽到您的心聲了。密碼證並完美解決之道。然而,由於每項需要密碼的服務都有被駭入的風險,您需要個別設置不同密碼,以免其中一項服務的密碼在暗網洩漏後,攻擊者一併取得您所有網路帳號權限

2. 使用多重因素驗證(MFA)

使用多重因素驗證時,就在密碼外,為帳號多添加一層安全防護。
多重因素驗證這個名稱聽起來抽象,但其實相當好理解。基本上就銀行要求提供雙證件的數位版本。多重因素驗證也有許多不同類型:

基於時間的一次性驗證碼

此為其中一種多重因素驗證,透過掃描 QR code 啟用後,特定程式透過演算法產生一組每次 30 秒有效的 6 位數密碼。
您登入帳戶時如常輸入使用者名稱與密碼,接著打開手機中的應用程式並輸入 6 位數密碼。
攻擊者將無法入侵產生密碼的演算法,且密碼每 30 秒更一次,非長時間有效。

了解如何啟用 TOTP 保護您的 Gandi 帳號安全。

安全金鑰

一個稍微不那麼複雜,更加安全,卻也相對麻煩的選項就是安全金鑰了,這是一種將小晶片插入 USB 端口的裝置。
安全金鑰不需要特殊應用程式或是輸入額外密碼。您只要在輸入使用者名稱與密碼後,將金鑰插進 USB 端口並按下金鑰上的按鈕即可。
這個方式的缺點是您必須隨身攜帶實體金鑰,一旦忘記帶或是遺失就無法登入帳戶了。

生物辨識技術

聽起來遙不可及,但這種型態的多重因素驗證其實非常好操作,更是最人性化的方式。事實上,您現在很可能已經在智慧型手機上啟用生物辨識驗證了。根據您獨特的指紋或臉部特徵,使用指紋辨識或是透過手機鏡頭的臉部辨識解鎖。
隨著越來越多的個人電腦開始在鍵盤中設置指紋辨識,這種類型的認證方式也將日益普及
登入時只需要輸入您的使用者名稱與密碼,接著使用生物辨識系統認證裝置(無論是您的手機或是電腦)來完成登入。

3. 小心網路釣魚

網路釣魚電子信件會假冒成您信任的某個人(包含公司與機構,像是您的銀行、域名註冊商,或是郵局),但實際上將您引導至偽造網站要求您提供個人資訊(尤其是密碼)。
寄送電子信件幾乎不需任何成本,且偽造某個人電子信箱地址也相簡單,因此網路釣魚攻擊至今仍是所有網路使用者的主要威脅。
最佳防範網路釣魚式:
  1. 不要慌張。 網路釣魚之所以有效,是因為人們見嚇人郵件主旨時鬆懈了警戒。只要多花一分鐘想想這封電子信件要求您做的事並檢查連結,就可以避免落入釣魚陷阱。即便是緊急問題,一分鐘也不會造成重大影響。
  2. 不要點擊連結。如果信件要求您支付款項或輸入個人資訊,請另外開啟提到的網站。例如,您可以在瀏覽器中輸入 Gandi.net 開啟網站登入您的 Gandi 使用者介面來確認域名是否需要續約,而非點擊信中提供的連結。
  3. 檢舉網路釣魚 當您收到網路釣魚信件,請務必向相關單位檢舉。這樣不僅有助於阻止還在進行中的網路釣魚活動,更可以讓郵件服務供應商標記釣魚信件,以提醒之後的收件人對某一特定信件多提高警覺

4. 在不同網站登入時使用不同電子信箱地址

與帳號綁定的電子信箱地址有多種用途,包含重置密碼、寄送電子報與行銷活動信件,甚至有些會用來當作使用者名稱。
這表示著如果用來登入一網站的特定電子信箱地址被洩漏出去了,那麼其他使用這個電子信箱地址的帳也會面臨相同風險。
管理網站時為例,如果您在註冊域名與登入內容管理系統(CMS)時皆使用相同電子信箱地址,那麼您的內容管理系統登入資訊洩漏出去時,也會影響您在註冊商網站的帳讓您較難解決問題。
或者,即便帳號資訊未被洩漏,您可能會出於品牌推廣與聯繫目的,而使用 “@您的域名” 客製化電子信箱地址登入內容管理系統。但是,使用這個信箱作為管理域名號的登入信箱可不是好主意。假設您的域名發生問題,由於電子信箱仰賴域名正常運作才能收取信件,您就會無法登入域名註冊商網站來解決問題。
最後,最好不要使用像是 “admin@” 或 “contact@” 這麼「顯而易見」的信箱地址。這些信箱地址相對容易猜到,不僅使得試圖入侵帳戶的潛在攻擊者有跡可循也讓他們能更輕易地寄給您看似可信的網路釣魚信件,因為他們試著使諸如 “contact@” 等等常見信箱地址,甚至是您網站列出的任電子信箱地址

5. 持續更新軟體

從某個層面來說,數位安全就像是軟體開發人員想利用軟體漏洞與弱點的網路犯罪者之間的虛擬武裝競賽。
這就表示軟體開發人員不僅要不斷開發新功能,提昇軟體表現,同時也會持續發佈軟體新版本,修補漏洞及修復安全問題。所有您用來上網的軟體無一例外,包含網頁瀏覽器 Firefox、Safari,以及 Chrome,郵件服務 Thunderbird、Apple Mail 以及 Outlook 等,除此之外還有任何您電腦、智慧型手機平板中的應用程式,當然也包括了您管理網站所使用的軟體。
具體來說,持續更新您的內容管理系統軟體非常重要。這包含系統本身以及任何您使用的附加元件與擴充。舉例來說,如果您使用的是 WordPress,應該確保 WordPress 與所有您使用的 WordPress 附加元件都是最新版本。
軟體開發人員通常會在新的版本發佈時通知您,在收到通知時立即更新非常重要不過,定期主動檢查自己使用的是否為最新版本也是個好點子。

6. 定期備份

我們總是很容易拖延而沒有事先為最糟做準備,直到它真的發生的那一天。無論是蓄意攻擊、天災、錯過續約,或是網站管理疏失,最重要的是能夠在萬一發生問題時透過備份回復

需要備份的資訊

以下為幾項您應該確保備份的資料類型:
  1. 備份您的電腦、智慧型手機,以及其他裝置。 定期備份您的電腦以及其他裝置(例如您的智慧型手機)向來是個好主意。如此一來,萬一發生問題時能順利使用管理網站或域名所需的主要應用程式。這不單指瀏覽器,如果您有使用密碼管理工具,或是能夠透過備份密碼來重置的多重因素認證等,更需要特別注意如果在遺失電腦同時遺失這些密碼,可能情況雪上加霜只要在主機上安裝 Nextcloud,將電腦與其他裝置備份到雲端上其實很簡單。.
  2. 備份您的網站。定期備份電腦非常重要之外,定期備份您的網站更是明智之舉您有可能基於諸多原因而必須從備份中回復網站,特別是當您的網站遭到入侵時,否從遭入侵前的備份資料回復並使網站重新運作,更是關重要。

    了解如何在 Gandi 備份您的網站。

  3. 備份您的域名設定。 如果您的域名遭遇任何災難意外,例如錯過續約必須重新註冊、域名被盜後轉出,或是您在編輯 DNS 紀錄時犯了錯,都可以透過 DNS 備份回復域名並恢復正常運作。了解DNS 快照功能。了解DNS 快照功能。

如何備份您的資料

一般來說,應該遵守 3-2-1 備份原則:
3 個備份
2 種裝置
1 個離線備份
意思是在 2 個不同的實體位置及 2 種不同的裝置中,製作 3 份副本。

每年的3月21日即為 世界備份日 ,也許這可以幫助您更容易記得

7. 使用 HTTPS 或是 SSL/TLS

SSL,全名為 Secure Socket Layer(安全通訊協定),也稱作 TLS,全名 transport layer security(傳輸層安全性協定),是一種使用 HTTPS(全名 Hypertext Transfer Protocol Secure,超級文字傳輸協議安全) 的特殊數據加密法,您很可能會從某些網址開頭的 https:// 認出它。
這項協定需透過在您的網站上安裝 SSL/TLS 憑證來執行。SSL/TLS 憑證是使用公開金鑰加密生成的文件。是一種數據加密(或編碼)方式,僅有發送方與定接收方才能解密或是解碼。當您在網站上使用 HTTPS 時,在瀏覽器與網站間就會產生一條虛擬「道」。第三方讀取網站與終端使用者瀏覽器傳輸資料,他只能看見加密資料,沒有任何破解方法
這就是為什麼我們能夠透過 SSL/TLS 憑證或 HTTPS 在網站中發送像是信用卡號碼、身份證號碼、使用者名稱及密碼敏感資料
有些類型的 SSL/TLS 憑證甚至能保證交易安全欲取得此類型 SSL/TLS 憑證,必須通過額外驗證程
當網頁中安裝了有效的 SSL/TLS 憑證後,通常在瀏覽器網址旁會出現一個鎖定的小圖示。這使得 SSL/TLS 憑證成為您與您網站使用者間建立信任的重要因素。

何時使用 SSL/TLS

SSL/TLS 最初被視為保護下列敏感資料的一種方式:
  • 使用者名稱與密碼
  • 金融資訊(例如信用卡號碼)
  • 個人身份資訊
在上述用途中,SSL/TLS 絕對相當重要。
然而除此之外,現今也建議所有的網頁瀏覽都使用 SSL/TLS 加密。這樣可讓網路使用者更有信心,確保個人資料不會落入心懷不軌的人手中。您的位置與瀏覽內容甚至也可被視為敏感資料,因此請務必使用 SSL/TLS 憑證來保障您的網站與使用者的安全。

了解 SSL/TLS 憑證是什麼。

8. 避免使用預設資訊

大部分的內容管理系統,像是 WordPress 、Joomla 都會為管理者登入或是目錄提供預設。以 WordPress 來說,預設登入的網址為 example.com/wp-admin/。若要客製化,您需要另外使用(安全且有維護的)附加元件。
設定網站使用者名稱時也應該避免「admin」這類,雖然並非預設,但過於普遍使用的名稱

9. 關閉不再使用的功能並且審核您的附加元件

有些您不再使用,但是仍允許使用者與網站進行互動的功能,可能為您的網站帶來安全威脅。網站上所有能讓使用者提交資料的表單,包含留言、註冊,聯繫表單等,皆有可能被利用來入侵您的網站。
如果您不再需要或是不使用這些功能了,請務必確定這些功能已停用例如,假設您在內容管理系統中啟用了留言功能,但是並未管理網站留言區,那麼您應當停用這項功能,以防範潛在攻擊者透過留言侵害網站安全,或是某些使用者輕信留言,點擊連結至偽造或是不安全網站
同樣地,您也應該定期審核安裝在內容管理系統的附加元件,尤其是您正在使用 WordPress 這樣的內容管理系統。老舊且不再定期維護的附加元件等同於安全威脅。而一般來說,即便是有定期維護的附加元件都有可能是安全性問題的來源,因此卸載不再使用的附加元件是很重要

10. 保持警戒

保持警戒是保障您與網路安全的首要關鍵。唯有提高警覺才能識破網路釣魚詐騙的企圖,並且請務必定期更新軟體。
無論是瀏覽網站時,管理域名、代管服務、內容管理系統的帳時,或是檢查您的網站並注意到異常時,保持警覺才能夠發現問題。
因此,請注意安全並保持警戒!