Title Text:Never give your password or bank account number to anyone who doesn’t have a blue check mark next to their name.<
Origin:https://xkcd.com/1820/
請不要把你的密碼或是銀行帳號交給任何名字旁邊沒有藍色勾勾的人。
https://www.explainxkcd.com/wiki/index.php/1820:_Security_Advice
漫画描绘了Cueball和Ponytail之间的对话,讨论了过去给人们提供安全建议的事实未能提高他们的互联网安全性,在某些情况下甚至使事情变得更糟。其中一个例子是告诉人们创建包含数字和符号的复杂密码,这不仅会使密码难以记住(通过将密码留在计算机显示器上而导致人们产生巨大的安全风险),但没有实际上使这些密码更难破解(见936:密码强度)。
因此,Cueball建议使用逆向心理学而不是给出不好的建议,以期获得积极的效果。最后一个面板包含一个包含13个安全提示的列表,这些提示是实际安全提示的模仿。标题文字只是另一个提示。有关所有14个提示的说明,请参见下表。
这部漫画是另一个漫画提示。
安全提示[编辑]
安全提示
说明
打印此列表并将其保存在您的银行保险箱(标题)中
这是对必须保持安全的文档的标准建议,因为它们是不可替代的和/或包含敏感信息。然而,这个列表本身很容易更换,内容将是众所周知的,因此将其存放在安全的地方是完全没有必要的。将它放在保险箱中甚至会适得其反,因为如果每个人都可以轻松访问该列表,那么该列表只能作为现成提醒。因此,当人们不遵循这个提示时,他们可能会将其保存在一个他们可以轻松访问提示的地方,这样他们也可能无法跟随所有其他提示。
不要单击指向网站的链接
通常的提示是“不要点击可疑的网站链接”或“不要点击可疑电子邮件中的任何链接”。漫画的变化反而告诉用户不要点击任何网站的任何链接,这实际上阻止他们完全使用万维网。所以这个提示并没有真正帮助,因为与此相反的是点击所有链接。
在密码中使用素数
通常建议在一个人的密码中使用数字,以增加其熵,使得通过暴力攻击更难找到。相比之下,漫画建议在一个人的密码中使用素数。当用于由机器计算的算法时,大素数是现代密码学和安全系统的重要部分。当人们在密码中使用它们时它们没有任何效果,除非可能使它更难记住。此外,如果人们经常在他们的密码中使用素数,它实际上会使密码更容易猜测,因为它会大大减少人们可能选择的密码数量。
每月更改密码管理器
通常建议定期更改密码并使用密码管理器。密码管理器是可以帮助用户轻松安全地创建,存储和更改密码的程序。每月更改密码管理器将涉及将所有存储的密码从一个管理器复制到另一个管理器,这将是非常不切实际的并且没有安全性益处。
在越过边界时屏住呼吸
在某些过境点,政府机构可能会搜索计算机,手机和其他电子设备。这种情况的通常建议包括断言您重置所有设备的权利以及在越过边界之前删除所有数据。在某些情况下,保持呼吸可能有助于防止吸入细菌或毒药,但在计算机安全的背景下无用。这两个主题在同一个建议中混合不会取得任何成果,但是如果你屏住呼吸的时间过长,你可能会在穿越时昏倒,或者看起来很紧张/可疑,并邀请更多的审查。这也可能是指在通过墓地时屏住呼吸的迷信,或类似于电影“千与千寻”,其中主要角色被指示在穿过作为人与精神之间边界的桥梁时屏住呼吸世界。在任何情况下,在浏览互联网时屏住呼吸都没有任何有用的效果,超自然或其他。
安装安全字体
一个真正的提示可能是“安装一个安全的浏览器”,特别是当许多人使用Internet Explorer 6.安全字体确实存在并且旨在使检查难以改变,但在计算机上使用一个无法帮助一个人的互联网安全。也可以参考谷歌Chrome“安装缺失字体”恶意软件。
使用双因素烟雾探测器双因素身份验证描述了使用两个不同的标识因素(例如密码和来自安全令牌的代码)来验证用户的实践。双因素烟雾探测器可能使用两个或多个因子来识别烟雾(例如电离和光电)。这些设备实际上存在,但是,在提高用户的一般安全性的同时,他们无助于提高他们的互联网安全性。
此外,使用双因素身份验证的逻辑是两种类型的凭据必须匹配以授予访问权限。烟雾探测器不起作用 – 如果任何传感器发现火灾,通常会发射。如果烟雾探测器根据认证逻辑工作,则与单个传感器相比,它将不太可能检测到烟雾,从而有效地降低了火灾安全性。
这部漫画的前一个月,最新的xkcd手机,1809:xkcd Phone 5,以28因素身份验证发布。
定期更改您的婚前姓名
您的婚前姓氏是您出生的姓氏。从根本上改变你的娘家姓名,“娘家姓”的定义是不可能的。常见的提示是定期更改密码。一些密码恢复程序要求提出安全问题,例如“你的婚前姓名是什么”。安全问题通常提出的少女姓名和其他琐事并不是秘密,因此它们本身就是不安全的。
处理安全问题的真正提示是输入错误数据。
将奇怪的USB驱动器放入一袋米饭中过夜
通常的安全提示是“不要将奇怪的USB驱动器插入计算机”,因为有时候攻击者会在USB设备上留下恶意程序,希望人们出于好奇而将它们插入目标计算机。本文提示您应该“将USB驱动器放在一袋米饭中过夜”,这是一种通常用于干燥水损坏设备的技术,因为大米具有吸水性。这不会清除病毒的驱动器,除非驱动器被弄湿(可能是因为你因为被称为“奇怪”而在外面找到它),它不会做任何事情。在1598年:打捞,另一个尝试是用水挽救非传统的东西,并且在这里显示兰德尔认为湿移动的大米干燥是一个神话,所以这是对这个想法的又一次尝试。
使用&amp;等特殊字符和%
您可以使用特殊字符来增加密码的熵/强度,但如936:密码强度中所述,这通常会导致密码难以记住但不是特别强。这里缺少密码上下文,并且在日常情况下,字符和&amp;和%并不特别。密码中通常不允许使用这两个字符,因为它们与SQL(一种常见的数据库查询语言)相关。如果在密码中使用了这些字符,那么使用SQL编写错误的安全系统可能会出现类似于327中的安全漏洞的严重错误(和安全漏洞):对妈妈的漏洞利用。
仅阅读通过Tor.com发布的内容
Tor是一种软件解决方案,可为用户提供Web匿名服务。 Tor.com网站是幻想和科幻图书出版商Tor Books的网站,与Tor网络无关。
使用刻录机的电话
关于使用燃烧器电话(一种便宜/一次性手机,如7-11购买的手机,通常用于毒品交易或其他可能不想跟踪的活动)和使用燃烧器的手机,即一个人习惯性地使用大麻(或者,不太可能是参加燃烧人节的人)。
获取SSL证书并将其存储在安全的地方
SSL /TLS是用于保护互联网连接的协议。要检查某人是否是他们声称的人,您可以查看个人的证书。这种证书必须公开;将它存放在安全的地方会使证书无用。您必须将与证书匹配的私钥存储在安全的地方,否则有人可能会窃取该身份。
如果边防警卫要求检查您的笔记本电脑,您有合法权利向他们挑战他们的国际象棋游戏。
这个提示是对常见的Chess with Death的参考,其中一个凡人向游戏或挑战挑战神,通常是为了他们的生命。这个版本的版本追溯到英格玛·伯格曼的电影“第七印章”,其中主角向国际象棋游戏挑战死神。但不是避免死亡,这个提示建议你有权做同样的事情,以免将你的设备交给边防警卫。 (这个转义也出现在393:终极游戏中)。在唐纳德·特朗普总统(在这部漫画开始前两个半月开始)的情况下,边境巡逻和海关人员因为描绘非高加索旅行者和移民而臭名昭着。代理商强迫并威胁旅行者交出他们的智能手机的故事比比皆是 – 他们没有合法权利根据第四修正案采取你的设备,但有许多不完全闲置的威胁,他们可以在你做他们之前希望。
这是指跨越边界的第二个提示。兰德尔最近制作了几部漫画,可能被视为与唐纳德·特朗普当选总统有关的问题有关 – 请参见此处。
标题文字:切勿将密码或银行帐号提供给名称旁边没有蓝色复选标记的任何人。
这里通常的安全提示是“只有信任Twitter账户,如果他们的名字旁边有一个蓝色复选标记,声称是合法的”,这意味着该账户被验证为合法。此提示建议仅将密码提供给已验证的帐户,但您不应将密码提供给任何帐户。 Twitter验证将于1914年重新审核:Twitter验证
它还指在美国银行系统中特别明显的问题,即直接帐户草案的安全性很低,因此建议在那里尽可能保密帐号。相比之下,在欧洲,向某人提供您的帐号是获得报酬的最常见方式之一。
相关提示可能是“”切勿将您的密码或银行详细信息提供给URL“”旁边没有挂锁图标的网站。在某些浏览器中,如果您访问安全网站,浏览器中会有一个挂锁图标,表示您已使用安全https协议连接到安全网站。因此,此提示会像处理安全网站图标一样处理已验证的帐户图标。
