网名叫Snow的Stephanie Carruthers是一个“白帽黑客”，她的客户既有财富100强企业，也有初创公司。在2014年，Snow在被誉为黑客“世界杯”的DEF CON Social Engineering CTF夺旗赛上胜出。她经常在黑客大会上发表演讲，并与希望强化自身网络安全的企业分享她的专业知识。

《赫芬顿邮报》的记者近日通过推特向Snow询问了她所从事的工作，以及她对网民安全上网有什么忠告。以下就是此次问答：

问：“白帽黑客”究竟是干什么的？

答：白帽黑客是有道德正义感的黑客。具体来说，我是一名社会工程师，也是一个黑客。用最简单的话解释我所做的工作就是“想方设法闯入不同的建筑物。”我会进行不同类型的评估，比如网络钓鱼活动和物理安全评估。我的工作旨在帮助我的客户发现他们的安全漏洞，以便他们能在遭遇网络攻击之前及时修复这些漏洞。

问：你是怎么进入这个行业的？

答：我在参加DEF CON Social Engineering CTF夺旗赛时对社会工程学的兴趣越来越浓厚，我很幸运能够进入这一行业。

问：你觉得个人在上网时安全吗？

答：我永远不会说自己的网络系统“坚不可摧”。如今数据外泄事件越来越屡见不鲜，让人感觉好像已是家常便饭，出于这个原因，我在上网时永远都不会觉得安全无忧。因此，我会尽可能地采取各种预防措施保护自己的信息安全。

问：你认为网民发布哪些内容堪称愚蠢？

答：看到有些网民发布的东西我不想称之为愚蠢，但这的确表明他们比较无知。我希望有些网民在真正了解他们所发布内容的风险后，会重新考虑是否应该发布这些内容。

我在网上看到一些人发布的带有风险的内容包括：

 * 新司机：一些刚刚拿到驾照的青少年（乃至他们的父母）在兴奋之余上网自豪地展示新驾照的近照，上面包括家庭住址在内的所有个人信息都一清二楚。

 * 新屋主：一些屋主会拿着新房钥匙拍庆祝照片，然后将这些带有定位的照片传到网上，殊不知一些不法之徒可以轻而易举地通过照片复制你的新房钥匙。

 * 雇员：一些雇员在网上上传办公室的自拍照时会完全忽视照片的前景或背景，包括写在白板上的密码或敏感信息，电脑显示屏，以及录在手机上的语音信箱密码等。此外，出于一些疯狂的原因，还有些员工会在网上上传诸如薪水支票等物品的照片。虽然有些人可能看不出发这种帖子有什么不妥，但攻击者却有可能利用这种图片为自己谋利。

问：在社交媒体上有哪些事千万不能做？ 

答：想都不想就在网上发帖子。在你发帖之前，应该先问自己几个问题：我在网上发布的是什么信息？在我照片的背景里有哪些东西？如果我想报复自己，我会如何利用这些信息作为武器？

问：你认为哪个社交媒体网站最容易暴露我们的信息漏洞？

答：我认为脸书（Facebook）最容易暴露个人信息漏洞，这主要是因为脸书关联了大量信息，比如你的朋友、同事、家人、工作、爱好以及子女等信息。此外，许多用于银行交易和密码重置的安全问题的答案通过一些人的脸书账号就可以找到。

最重要的是，脸书并没有刻意努力保护你的隐私，因为如果所有用户都受到严格限制，社交媒体就无法正常运作。对于许多用户来说，即便他们想要添加隐私设置也无从下手。

问：面部识别技术可以阻止骗子创建虚假个人资料么？

答：面部识别技术或许有助于减少虚假账户，但却不能彻底解决这个问题。黑客非常狡猾，会想方设法克服这些障碍。这很像猫捉老鼠的游戏。在另一方面，为了使用脸书，我们不得不提供更多个人信息。我认识许多注重隐私保护的人，他们在社交媒体上都是使用假名字和非人像照片。但是，为了防止虚假个人资料，这些用户必需向脸书提供自己的真实姓名和面部照片。这和脸书意欲通过要求你提供自己的裸照来对付网上色情作品的想法相类似。从自动化角度来说，如果脸书拥有了这些资料，其就可以更容易地搜索和销毁相关资料。虽然我们也会因此面临信任问题，但我们只能两害相权取其轻。

问：密码和安全问题为什么频频被破解？

答：导致个人信息外泄的原因有很多，比如黑客攻击、应用程序漏洞、服务器未打补丁、缺乏物理安全控制、数字证书薄弱或被盗等。如果这些漏洞一直存在，那个人信息外泄事件就会继续发生。

因此，每个人都应该养成良好的设定密码习惯。个人和公司都有责任保护密码安全。你可以采取以下几个措施保护自己的密码：

1、不要重复使用密码，经常更换自己的密码，并使用密码管理器。你应该设置一个安全性很高且独一无二的登录密码。

2、在回答常见的安全问题时不用实话实说，你无需填写自己母亲的真实娘家姓。你可以使用一些不容易被猜到的答案，比如“Nutella”或“Disneyland”。

3、使用双重认证。大多数网站都有这个选项，你可以在其中做额外安全设置。

问：这些想要窃取我们信息的骗子和黑客都是什么人？

答：骗子是伺机而动的攻击者。像其他非法活动一样，他们往往都是在回报大于风险的地方活动。在大多数地方，这都是因为当地法律对此类非法活动震慑不够而导致。无论攻击者是谁或是在什么地方发起攻击，归根结底都是因为他们攻击的目标那里有他们想要的信息，他们有办法也有能力获取这些信息，并且认为值得这样做。在许多情况下，骗子都能顺利得手，因为对于他们来说这就好像数字游戏。这些骗子有自己的呼叫中心从事类似电话营销的活动，他们有牵头人、对话脚本、内部升级机制、培训课程乃至定额管理制度。

问：对于个人上网用户来说，最重要的事情是什么？

答：用户只需要记住这些网络安全问题不会很快消失。此外，你虽然无法让自己成为全世界最安全的网民，但却可以让自己比其他人更安全，这样一来，攻击者可能也会放弃攻击你转而寻找其他攻击对象。正如俗语所说，你不需要跑得比熊快，只要跑赢别人就够了。