今天，12月25日，Cloudflare全球各地的办公室都在休息。从旧金山到伦敦和新加坡，工程师们都回家过节（尽管那些随叫随到的工程师们密切监视着他们的手机）。软件工程专业版-提示：不要，我重复一遍，本周不要部署。这就是你在旧卧室里调试父母wifi的关键问题的原因，而你的配偶却恨你和你的种族主义叔叔抛弃了他们。——克里斯·阿尔本（@chrisalbon）2017年12月20日虽然我们的支持团队和SRE团队按时间表工作，以确保手指放在键盘上；周六，我离开伦敦前往沃里克郡乡村。远离伦敦科技界的军营，没过多久，下面的对话就发生了：家人："那你现在是做什么的？"我："我从事网络安全工作。"家属："新闻上似乎每天都有新的网络攻击！我能做些什么来保证自己的安全？"如果你在科技行业工作，你可能会发现一个家庭成员向你咨询有关网络安全的建议。希望这篇博文能让你在尝试提出建议时避免口吃（就像我做的那样）。基础知识万纳克里勒索软件攻击是2017年最引人注目的网络攻击之一。本质上，勒索软件的工作原理是感染计算机，然后加密文件——阻止用户访问它们。然后用户会在屏幕上看到一个窗口，要求付款，并承诺解密文件。多个模仿病毒也如雨后春笋般涌现，利用了与WannaCry相同的漏洞。值得注意的是，即使在付款后，你也不太可能看到你的文件被退回（不要指望犯罪分子提供诚实的交易）。据估计，WannaCry已经感染了全世界超过30万台电脑；这其中包括知名的政府机构和公司，英国国家卫生服务局就是一个显著的例子。尽管这次袭击造成了广泛的影响，许多受害者本可以很容易地保护自己。已经有安全补丁来修复导致这一攻击发生的漏洞，安装防病毒软件可以遏制勒索软件的传播。对于消费者来说，安装更新，尤其是安全更新通常是个好主意。像WindowsXP这样的平台不再接收安全更新，因此不应该使用——不管它们的安全补丁有多新。当然，备份你最不可或缺的文件也是必不可少的，而不仅仅是因为安全漏洞的破坏。不要把鸡蛋放在一个篮子里今天可能不是复活节，但你当然不应该把所有的鸡蛋放在一个篮子里。因此，在多个站点使用相同的密码通常不是一个好主意。自1961年以来，密码就一直存在，然而，还没有找到其他方法来保持密码的所有优点；用户继续设置弱密码，网站开发人员继续不安全地存储密码。当开发人员存储计算机密码时，他们应该这样做，他们可以检查计算机密码是否正确，但他们永远不知道原始密码是什么。不幸的是，许多网站（包括一些流行的网站）对互联网安全的实施不力。当他们受到黑客攻击时，密码转储可能会泄露，每个人的电子邮件/用户名旁边都有他们的密码。如果在多个网站上使用相同的电子邮件/用户名和密码组合，黑客可以自动使用来自一个站点的被破坏的用户数据来尝试登录您在线使用的其他网站。因此，跨多个站点使用唯一的密码是绝对重要的。像LastPass或1Password这样的密码管理器应用程序允许您为每个站点使用唯一的随机生成的密码，但是使用主密码从一个加密的钱包中管理它们。简单的密码，基于个人信息或使用字典中的单个单词，也远远不安全。为了破解密码，计算机可以反复检查常用密码。同样，添加数字和符号（即将密码更改为p4$$w0rd）也没有什么帮助。当你必须选择一个需要记住的密码时，你可以用句子来创建强密码。例如："在圣诞节，我的狗偷了两双马丁博士的鞋子！"可以变成acmds2pods！基于简单句子的密码可能很长，但仍然容易记住。另一种方法是简单地随机选择四个字典单词，例如：WindySoapLongBoulevard。很明显，密码比密码更安全（当然，这也比密码更安全）。分层安全身份验证是计算机如何确认你是你所说的人。基本上，可以使用以下方法之一：一些你知道的事情你有的东西你就是这样密码是一个例子，说明你如何使用"你知道的东西"登录；如果有人能够访问这个密码，那么这个在线帐户就完蛋了。相反，也可以使用"你有的东西"。这意味着，如果您的密码被截获或泄露，您仍然有另一个保护措施来保护您的帐户。实际上，这意味着，在将密码输入网站后，可能还会提示您输入另一个代码，您需要在手机上读取应用程序。这称为双因素身份验证。世界上许多最流行的社交媒体、银行和购物网站都支持双因素身份验证。你可以在turnon2的热门网站上找到如何启用它fa.com网站.知道你和谁说话吗当你在线浏览一个网站时，你可能会注意到你的地址栏上亮起了一个锁符号。这表示在与网站交谈时启用了加密，这对于防止拦截非常重要。在将个人信息输入网站时，请务必检查此绿色锁是否出现，以及网站地址是否以"https://"开头。但是，重要的是要仔细检查你的个人信息放在地址栏上。它是cloudflare.com网站或者你被重定向到一个不可靠的网站上cloudflair.com网站或者cloudflare.net？尽管加密的网络流量已经变得非常普遍，但在许多网站上，通过将互联网流量指向不同的地址来去除这种加密仍然相对容易。我描述了如何在以下方面做到这一点：执行和防止SSL剥离：一个简单的英语入门对你在电子邮件中看到的链接要小心，这通常也是一个很好的指导；它们是来自你银行的合法电子邮件，还是只是有人试图从看起来像你的银行的假冒"钓鱼"网站上获取你的个人信息？仅仅因为某人对你有一点了解，并不意味着他们就是他们所说的那样。如有疑问，请直接在电子邮件中删除以下链接，并独立检查电子邮件的有效性（例如直接访问您的银行网站）。一个正确的"收件人"地址不足以证明一封电子邮件来自于它所说的发件人。结论我们总是听说新的和创新的安全漏洞，但对于大多数用户来说，记住一些简单的安全提示就足以抵御大多数安全威胁。总而言之：根据经验，安装最新的安全补丁不要使用不提供安全补丁的过时软件使用可靠的防病毒软件备份不会丢失的文件和文件夹使用密码管理器为每个站点设置随机、唯一的密码不要使用常用关键字或个人信息作为密码给密码添加数字和符号通常不会增加安全性，但会影响它们的易记性在支持双因素身份验证的站点上启用它输入个人信息时，请检查地址栏，确保连接加密，站点地址正确不要相信你在收件箱里看到的一切，也不要相信通过电子邮件发送的每一个链接；即使发件人有关于你的一些信息。最后，来自Cloudflare的每个人，我们祝您度过一个美好而安全的假期。要进一步阅读，请查看互联网肉馅馅饼数据库。