从被忽视的地方做起——加强安全防御

　　安全性是多层次的，而且是多多益善，因此人们应当去寻找各种简单、廉价的途径来加强安全。下面我们将介绍几种非常重要却经常被忽视的简单和廉价的安全战略。　　

　　从被忽视的地方做起

　　添加加密口令数据库

　　专家建议采用可靠而经常改变的口令来加密，但是人们不可能记住冗长的密码，所以当用户可以选择简单口令时，他们就会选择简单口令，在可以重复使用口令的情况下，就会重复使用。如果被迫选择强口令的话，人们就会将口令写在纸条上。有一种可以摆脱这种窘境的免费解决方案，那就是下载一款叫做Password Safe的免费Windows实用程序。这是一种受保护的加密的数据库，用户可以在这个数据库中保存任意数量的姓名/口令证书。Password Safe安装和使用十分简单，并且易于转移(比如，从桌面PC到便携机)。在一次登录技术最终变为现实前，它不失为一条可行的途径。　　

　　使用数字ID来认证和加密

　　客户机证书、数字ID等一次登录技术已经问世许多年了。数字ID可由商业证书机构签发或用户自己生成，供内联网和外联网中使用。浏览器将证书保存在一个(像使用Password Safe一样)受通行字保护的数据库中。当Web服务器查询身份时，浏览器就亮出作为出入证的证书。这个证书就是认证令牌。使用客户机认证的好处还在于可以启动主流电子邮件程序的S/MIME(安全MIME)功能，这些电子邮件程序包括Outlook、Outlook Express和Netscape/Mozilla(Eudora不直接支持S/MIME，但提供插件)。两个安装了客户机证书并交换过一次电子邮件的用户，随后就可以使用加密信件进行通信。一旦激活客户机证书，S/MIME可以为信件签名。数字签名将合法的身份与信件捆绑在一起，防止伪造，并证明信件的内容没有被改动。在大量保密数据每天以明文方式通过电子邮件发送的情况下，这种廉价的数字ID加密却很少被人们使用。绝大多数用户都非常重视部署方案的方便性和易用性，这两点可能是数字ID提供商需要努力改进的地方。　　

　　加密邮箱访问

　　另一个被忽视的战略是加密桌面系统到邮箱的通道，只有8%的用户将加密列为必要的安全措施。标准邮箱访问协议: POP(邮局协议)和IMAP(Internet消息访问协议)是以明文方式运行。这意味着口令和数据对于监测线路，或者在Wi-Fi情况下，监测电波的任何人都是可见的。流行的邮件客户机软件，可以利用POP和IMAP的SSL来保护邮箱数据流。为做到这一点，邮箱服务器必须能够接收SSL。如果用户的邮箱不能做到的话，用户可以使用基于OpenSSL的实用程序stunnel或sslwrap来增加SSL功能。用户还可以通过这种方式加密SMTP传输流，为内部企业消息建立一条虚拟专用电子邮件网络。　　

　　最后，用户还可以考虑使用Groove这种可以补充安全解决方案的协作方案。预览版Groove是免费的，并且它不需使用任何的PKI、S/MIME和SSL，就可以在硬盘和线路上加密所有的消息和文件。