前言
世上诸多领域依靠「有意识的习惯」为驱动力,我最近在研究的投资就是一例。当你开始真正踏入投资或者资产配置的领域的时候,实际上就是在跟人性作斗争:真正受到眷顾的投资者,往往不是研究「如何挑选牛股」这样的问题的人;相反,通常是深入了解资本市场底层逻辑、在舒适圈内发挥专长、严格遵守投资纪律、并能持之以恒地执行的人。
这时候你可能想问:「投资好麻烦啊,我能不能不投资?」但生活在资本全球化的世界上,「不投资」、「全部存银行」,本身就是一种(极度厌恶风险的)投资行为。而且,根据美国的一项研究表明,愿意承担较高金融风险的意愿与显著更高的净资产正相关。网络上人们经常开玩笑说「风浪越大,鱼越贵」,也许有其内在的道理。
看到这里先别走——对,这是一本讲「网络安全」的册子,不是一本投资心得集。和投资一样,网络安全也是需要「有意识的习惯」来驱动的事情:你需要提高安全意识、学习对应知识,然后由此建立一套属于自己的网络安全流程与习惯、持续践行,才能在赛博空间中保护自己。
得益于app开发商们对用户体验的重视,以及我们有了更多工具来达成这样的目标,现在做这样的事情并不需要你像苦行僧一样「用笔记本记下所有的密码」。顺便说一句,「笔记密码」在现在看来,既麻烦,也对于安全提升并无裨益。
2020年,一名巴西iPhone用户的手机被小偷偷走,接着在不到5小时内就发生了价值3万元(货币不明)的未授权银行转账、2500元的App Store消费,以及多个服务账户被盗用。而这件事情的根本原因是这名用户只使用六位数字密码来锁定手机,而现在暴力破解这样的iPhone,(理论上)最长仅需22小时。再加上六位数字密码在公共场合极易被旁人偷窥,因此小偷有可能偷窥密码后又窃走手机,才能在如此短的时间内完成如上操作。
光是看这个案例,我们可以得出一个「不要使用六位数字密码来锁定手机」的结论。但这就足够了吗?你是否了解「为什么窥到密码并偷走手机后能轻易进入银行app完成转账」?其中使用到的「钥匙串访问」[1]功能你真的了解吗?如果不使用「钥匙串访问」,究竟如何才能方便地登录账户?遗憾的是,这个结论并不能回答以上任何一个问题。
和投资领域这种「如果不了解许多东西的内在原理,你很难很好地将手头的资产配置到正确、合适的地方」类似,网络安全也需要你自己进行系统性学习,并由此得出最适合自己的一套方法论,进而真正地在赛博空间里保护自己。否则,你最终极有可能会「头痛医头、脚痛医脚」,哪里出问题了就贴个狗皮膏药,但没有从根本解决任何问题。
决定做这份册子的初衷有两个:第一个是看到了《你缺失的那门计算机课》小书。这是一本一天甚至几个小时就能通读一遍的小书,但每个章节都深入浅出又平易近人地解释了计算机(电脑)的各种基础知识——有些在我们眼里甚至属于是「常识」的知识。
第二,则是我在前不久撰写的一篇批评中国大陆银行app「安全键盘」功能实则在做无用功的文章。这篇文章发出后,在社交网络上收到了不小的回响,不仅从侧面证明「天下苦安全键盘久矣」,更是代表网络安全在大多数人中是十分重要、不可怠慢的基本功。
只是,中文互联网上对于网络安全知识较为零碎,并无系统性介绍网络安全底层概念之读物,同时概念繁杂,致使多数普通人在面对安全问题并无系统化概念。即使社交网络上有如同上文所述的案例研究,也只能得出片面结论,无法提供全面解析。《赛博丛林安全撤离手册》希望从「网络安全」最底层概念讲述,为读者提供全面的视角,来审视自己的网络卫生习惯。本手册将从「设备安全」、「账户加固」、「数据保护」、「抵抗社会工程学」等多个维度,系统性地讲述多种安全概念。在讲述过程中,笔者希望以尽可能简单、且不同技术水平的人群皆可轻松入门的文辞,来带领读者了解网络安全最底层的概念,进而帮助读者「用知识武装自己」。
同时,针对诸如「安全键盘」这样,对于安全实践并无裨益、甚至有悖于用户体验而产生潜在安全问题的实践,本手册也会有部分涉及与讨论。笔者希望藉由对于普遍性的安全实践措施的讨论,鼓励大家重新审视「网络安全」和「用户体验」之平衡。
本手册将会逐渐补充剩余章节和内容。如果您对于参与这份手册感兴趣,希望协助撰写手册或反映不妥之处,优先推荐前往Codeberg讨论。为便于身处中国大陆的用户参与,手册的源码同样托管在Gitee,也可通过这里协助完善本手册。
十分感谢读者的理解与支持,以及手册贡献者的辛勤付出。
Astrian
于墨尔本