城牆很高，吊橋卻放著#

許多公司大費周章要求員工只能在公司伺服器上跑軟體，不能透過網路使用——卻又允許高階主管帶著未加密的筆電到處跑。

城堡的城牆再高，吊橋放下也沒用（the tallest castle walls if you leave the drawbridge down）。

安全是嚴肅問題，但大致已被解決#

• 一般人願意上網銀，沒人怕在 Amazon 輸入信用卡號
• 因為基本的安全機制已經成熟可靠

37signals 的安全清單#

37signals 為所有員工列出一份必須遵守的簡單清單：

• 磁碟加密
  • 所有電腦都必須開啟硬碟加密，例如 Apple OS X 內建的 FileVault
  • 確保筆電遺失只是不便與保險理賠，而非全公司大警報、緊急改密碼、擔心文件外洩
• 登入與螢幕鎖定
  • 關閉自動登入
  • 喚醒時要求密碼
  • 閒置 10 分鐘自動鎖定
• 網站連線加密
  • 所有造訪的網站都開啟 HTTPS / SSL，特別是 Gmail 等關鍵服務
  • 注意網址前的小鎖頭圖示
  • 37signals 多年前就把所有產品強制走 SSL
• 行動裝置
  • 所有智慧型手機與平板都必須設定鎖定密碼
  • 必須能遠端清除資料（iPhone 可用「尋找 iPhone」）
  • 平板與手機要與筆電同樣慎重看待
• 密碼管理
  • 每個網站使用獨特、產生器產生的長密碼
  • 用密碼管理軟體（例如 1Password）保管
  • 「secretmonkey」騙不了任何人
  • 即使你能記住 UM6vDjwidQE9C28Z，所有網站共用同一組密碼也沒用——只要其中一個被駭就全完了（這種事一直在發生！）
• 兩階段驗證（two-factor authentication）
  • Gmail 開啟兩階段驗證，登入需要手機收驗證碼
  • 即使有人拿到你的帳密，也得拿到你的手機才能登入

如果電子郵件安全失守，幾乎所有線上服務也會跟著淪陷——入侵者可以用「忘記密碼」功能，把新密碼寄到他現在掌握的信箱。

學基本功就夠了#

設計安全協定與演算法是電腦版的火箭科學，但使用它們不是。

花點時間學會基本的安全做法，它們就不再是嚇人、不可信的巫術。在這個時代，基本的裝置安全只是常識——就像繫安全帶一樣。