作为普通网民,如何在互联网世界中保护自己?
对于普通人来说,security by obscurity(隐晦式安全)反而是最有效的
这方面和企业信息安全正好完全反过来
因为普通人的信息价值的数学期望很低,企业信息价值的数学期望很高
这就意味着,对于企业的信息安全,往往值得下血本去人工研究破解,能击穿防线就能捞一笔大的(比如nvidia的源码泄露)
但对于普通人,都是些六位数密码保护三位数存款,就不值得黑产去人工研究
一个信息安全专家一小时工资50美元,破解一个加密的个人数据文件需要数小时工时,然后破解出来一看,哦这b不但账户里没有钱还欠着四位数的BNPL呢,这赔本买卖可没人做
所以事实上,对于普通人的网络攻击,几乎全都是机器自动化进行的,使用固定的模板化逻辑去爆破,靠低成本以量取胜,一个号爆破成本不到一分钱,一千个号爆破掉一个卖20都有得赚
所以对于普通人来说,security by obscurity反而是一种很有效的保护措施
我之前提到过应对网盘的文件和谐,只需要简单写一个exe包装一下就行,连文件加密都不需要
为什么?因为自动化扫描不敢扫描exe,也没有静态分析的规则可以处理你自己手搓的exe结构,那么机器自动化分析拿你没办法,作为普通人又不会被盯上点对点爆破,那就直接安全了
这种让自己变得没有已知特征可匹配的办法就是security by obscurity
简单来说就是不要让自己的信息暴露出可以被自动化爆破的特征,从而避免被低成本的机器程序自动化爆破
虽然security by obscurity不能避免熵检测等办法检测到可能含有有价值信息,但它可以保护任何自动化程序只能怀疑你的信息有价值而不能自动化解密,对于普通人来说,这就足够了
企业信息刚好反过来,黑产团队舍得下血本分析,security by obscurity对于人工分析的阻拦能力有限,所以企业信息安全就必须依赖高强度的加密,阻止依靠算力进步的暴力破解