資訊安全
輕鬆易懂的網站技術及網站營運常識!
網站資安、刻不容緩!網站要加入什麼安全程式及資安規範才能確保網站能安全無虞,皆可由此了解。
網站資安、刻不容緩!網站要加入什麼安全程式及資安規範才能確保網站能安全無虞,皆可由此了解。
大家想必都曾經點擊過Google搜尋中的贊助商連結,依資安專家最新建議,之後盡量不要再這麼做,因駭客已鎖定將Google搜尋中的贊助商廣告,當成是攻擊目標,透過惡意投放廣告方式,進而竊取網站或個人資料。
根據《Cybernews》報導,曾有將近100億組的使用者帳號、密碼,在犯罪網站(駭客)被非法曝光,是史上規模最龐大的個資外洩事件,駭客運用撞庫攻擊,以相同的帳號密碼逐一在許多不同網站平台嘗試登入。什麼是撞庫攻擊?與暴力破解相同嗎?網站開發又該如何預防撞庫攻擊呢?
若網站中有設置帳號、密碼登入,在資安檢測中也會對密碼強度進行檢查;如果密碼強度不足,資安檢測結果就可能為中風險項目。本篇文章將說明,網站資安檢測時,若發現密碼強度不足時,可如何進行調整。
雙重、多重驗證,屬一種可以增強帳戶安全性的技術。近幾年網路駭客盛行,不少駭客為了取得個人或竊取企業資料,想盡各種方式破解帳戶密碼。因此,使用雙重、多重驗證可為帳戶提升一層防護。本篇文章將說明,網站開發,企業應使用雙重與多重驗證的帳戶類型有哪些。
密碼要怎麼設定才是好密碼?要設定什麼樣的密碼才符合強密碼的邏輯?首先你的密碼最好是要符合密「大寫字母 + 小寫字母 + 數字 + 特殊符號」的組合,接著字元長度最好超過12字元,這是最基本的條件。
Content Security Policy內容安全策略,可以限制外部連結資源,以防禦XSS、XSD或網頁置換…等代碼注入攻擊,它能告訴瀏覽器網站中的哪些位置可以連、哪些位置不能連、這個頁面允許什麼行為、不允許哪些行為…等。
網路釣魚通常是指利用偽裝與假冒的方式,佯裝成「看起來正常」的網站、寄件人或檔案來引誘受害人開啟或輸入重要資訊,當受害者不察而提供這些資料給對方時,就可能遭到個資外流、盜刷、盜取財產或被勒索的風險。
備份方式可用業界最為流行的方式進行備份,也就是3-2-1備份原則:「3-2-1備份原則:備份三份、兩種方式、一個異地備份或備援」
《資通安全管理法》分為A級、B級、C級、D級與E級,安全責任等級則分為管理面、技術面級認知與訓練面三個面向,業務涉及的資訊愈機密,須符合的等級也就愈高。
當災難來襲時,為了避免與減少所受到的巨大衝擊,我們也應重視資料的「備份」與「備援」,讓網站能在遭逢事變時正常運作。
GCB政府組態基準之檢測為目前公部門之基本要求,主要在保護資訊通訊設備的安全性與一致性,以降低駭客入侵之風險,而政府建置網站之主機也同樣需經過GCB安全檢測,以合乎政府規範。
要如何確認SSL是否有效,最簡單的方式就是直接透過網址列表檢視情況,有加裝憑證的網址傳輸協定(http)會顯示為https而非http,並且網址列也會出現鎖頭的圖示。
3D驗證是國際信用卡組織推出的網路安全驗證機制服務,用以保障消費者使用線上刷卡購物的安全,驗證方式可使用固定密碼或OTP簡訊驗證的方式來確認持卡人身分,以保護其消費安全。
惡意的電子郵件不會那麼容易被看穿!寄件者會利用郵件主機來發送假的、偽冒的、來自熟人的電子信箱來誘騙收件者開啟,進而達到詐取錢財、勒索與惡意攻擊之目的。
SSL憑證除了分為免費版與付費版之外,還會依照「憑證的保護範圍」與「憑證驗證等級」來分類,而憑證驗證等級又分為DV、OV與EV SSL,一般中小企業大多使用DV SSL憑證。