别再轻信这4个网络安全误区 现实可不像电视里演的那样

黑客行为可不像电影里那样——英雄们同时敲击键盘抵挡攻击者。在计算机安全领域，关于哪些重要、哪些不重要，存在着各种各样的误解。

我们之前聊过提升网络安全性的方法，也破解过从咖啡到电池等各种事物的误区和误解。基于此，本文将介绍几个网络安全误区，以及研究和权威来源对此的解读。

　　误区一：大多数黑客行为是超级天才电脑迷的杰作

在电视节目中，黑客行为往往是超级天才电脑高手仅凭自身技能侵入网络。这种情况可能存在，也确实发生过，但通常来说，欺骗人要容易得多。

《威瑞森2025年数据泄露调查报告》是一份广受认可的网络安全研究报告，它汇总了超过22,000起安全事件。该报告显示，现实世界中的威胁大多并非如此。报告指出：“我们研究的大多数案例都涉及人为因素导致的漏洞。”

这意味着什么呢？60%的重大数据泄露都始于某种人为参与，而非“完全自动化的攻击链或导致漏洞的黑客行为”。换句话说，大多数数据泄露并非始于黑客天才敲代码获取访问权限，而是始于某种欺诈手段。

根据该报告，最常见的形式是使用泄露的用户名和密码。还有社会工程学攻击，即有人可能通过打电话、发短信或发邮件给某人，试图获取访问权限。另一个长期存在的问题是人为失误。

这里我做了简化，但核心观点是，大多数安全漏洞利用的是人性，而非技术。那么，保护自己的最佳方法就是自我教育。

　　误区二：双因素认证纯粹是浪费时间

每个人都讨厌再多记一件事，所以很多人懒得设置双因素认证也就不足为奇了。有了双因素认证，仅靠用户名和密码是无法登录的——你还需要其他东西。这可能是手机上确认你身份的应用程序，也可能是物理USB密钥。问题在于：这有点麻烦，这可能就是为什么有些人宁愿相信它其实没什么用。

但双因素认证确实有用。我们上面提到，泄露的用户名和密码是导致数据泄露的最常见方式之一。双因素安全意味着，仅靠泄露的凭证，外部人员是无法获取访问权限的。根据美国网络安全与基础设施安全局（CISA）的数据，启用双因素认证的账户被黑客攻击的可能性降低了99%。

不过，并非所有的双因素认证都一样——事实证明，有些形式，如短信认证，不如基于应用程序的认证或物理认证安全。但美国网络安全与基础设施安全局表示，即便是基于短信的安全认证也比没有强，所以如果这是唯一的选择，你不妨设置它。是的，登录过程会稍微麻烦一点，但远不及数据泄露带来的麻烦。

　　误区三：虚拟专用网络（VPN）能完全保证隐私

如果你想保证隐私和安全，就需要VPN……对吗？事情没那么简单。这些服务有其用途，但有些人似乎认为它们是安全的万能按钮。电子前沿基金会表示，事实并非如此。

这个非营利研究和倡导组织写道：“VPN提供商在广告中常常夸大其安全好处，声称VPN是阻止网络犯罪分子、恶意软件、政府监控和在线追踪的唯一工具。但这些广告极大地夸大了VPN的好处。现实是，VPN最适合做一件事：将你的网络连接通过另一个网络路由。”

当然，这并不是说VPN毫无用处。它们确实可以保护你的互联网浏览不被互联网服务提供商（ISP）窥探，但它们是通过将你所有的浏览内容分享给VPN提供商来实现这一点的。如果你信任VPN提供商，这可能没什么问题，这就是为什么做足调研很重要。

　　误区四：系统更新没那么重要

说到人们不愿意做的事情，那就不得不提安装更新了。如果你和大多数人一样，可能会推迟在手机或电脑上安装更新，因为你现在不想重启设备，这是可以理解的。但推迟更新太久可不是个好主意。

今年早些时候，我写过为什么更新实际上很重要，其基本原理并不难理解。每一次更新都会修复特定的安全漏洞，这是好事，但这也向全世界公布了该软件旧版本存在的漏洞。

可以这样打个比方：想象一下，你得知你所在城镇的小偷有一把万能钥匙，可以打开2021年之前制造的所有锁，而且小偷已经开始复制这把钥匙并互相分享。你会更换锁吗？安全更新的作用也是如此。

　　贾斯汀·波特