您有想過嗎，字體可成為駭客攻擊工具？

導讀：您有想過嗎，字體可成為駭客攻擊工具？那如何透過 Monotype Fonts 的訂閱計劃來降低字體相關的安全威脅呢？

創意工作者們常常四處尋找完美的字體。但如果想要以優惠價格（或免費）獲得，創意者可能不知不覺地將潛在的漏洞引入你的網絡中。畢竟，字體也是軟體，和其他軟體一樣，它們也可能被用於惡意目的。

而且問題不僅僅是檔案損壞：你們組織的管理系統——團隊如何分享、儲存和訪問字體檔案——也可能為你的網絡帶來安全隱患。如果沒有強有力的安全流程，你的字體可能會讓你的安全性面臨風險。

那麼，字體對網絡系統帶來的最常見風險是什麼？像 Monotype Fonts 這樣的雲端訂閱服務如何解決你們組織在使用字體時可能已存在的漏洞？

使用和管理字體所帶來的安全風險

無論你使用所謂的免費字體，還是選擇第三方字體解決方案，都會將幾個安全問題帶入你的網絡。以下是一些你需要特別注意的常見問題。

偽裝成免費字體的惡意軟體

如果鼓勵創意工作者「隨便找個免費的」，他們可能會從不太安全的免費字體網站找到字體。雖然這種情況不常見，但他們找到的免費字體可能會內嵌惡意軟體，或者他們下載的檔案根本就不是字體。僅僅從可信賴的字體庫中獲取字體可能是最安全的解決方案，但在安全性和高品質字體選擇之間找到平衡也很重要。

免費字體值得這麼多麻煩嗎？只有你能決定你們組織的安全系統是否能應對這個挑戰。如果你打算使用第三方字體管理軟體，你的系統有多安全？你計劃引入的第三方系統又有多安全？

Monotype Fonts 讓你的創意工作者可以訪問來自全球頂尖字體廠的超過 300,000 種字體，這樣他們就不需要再去不安全的網站尋找獨特的字體。Monotype 桌面應用程式甚至能直接為主要的設計應用程式（包括 Sketch、Illustrator、Photoshop、Figma 和 InDesign）提供缺失的字體，完全消除了下載字體檔案的需求。

可能的版權與智慧財產（IP）問題

缺乏有效的字體庫管理和字體軟體控制，會引入法律和財務風險，特別是來自於意外使用未授權字體 IP 的情況。追蹤已購買字體的授權和可能附加在免費字體上的最終用戶協議是相當困難的。在授權方面的一個失誤，可能會造成昂貴的錯誤，許多面臨字體相關版權訴訟的公司都可以證實這一點。

訂閱單一計劃意味著可以在一個授權協議下將數千種字體納入你的字體庫。這樣，你的創意團隊將能夠無限制地創建原型，而你的組織僅需為決定投入生產的字體付費。

身份驗證和存取控制的漏洞

給自由工作者提供訪問你網絡的權限，可能會使其面臨存取相關的安全漏洞。這些自由工作者可能會通過未加密的連接發送憑證，或從不符合你組織嚴格 VPN 限制的網站下載檔案。

你的組織應該實施多重身份驗證、輸入驗證以及對每個用戶帳戶的高密碼複雜性要求等工具。任何你添加到技術堆疊的第三方字體管理軟體或解決方案，應該與你現有的存取管理工具相容，並具備相應的安全機制。

或者，你可以選擇更簡單的解決方案：Monotype Fonts。購買訂閱計劃意味著可以與大多數單一登入服務輕鬆整合，讓用戶身份驗證和上線變得輕而易舉。你的管理員可以直接從儀表板控制誰可以訪問哪些字體。自由工作者和其他外部資源不需要訪問整個網絡，只需擁有 Monotype Fonts 的登入即可獲得所需的字體。

加密失敗與安全配置錯誤

如果你現有的加密系統已經非常完善，那麼在計劃使用任何字體管理軟體（或其他軟體）時，加密失敗仍然是一個需要注意的安全漏洞。根據 OWASP 的資料，加密失敗已被列為網頁應用程式的主要安全風險之一，因此這點必須引起重視。

安全配置錯誤也是另一個問題。未調整的預設密碼和帳號、未保護的檔案、過時的存取控制、未使用的防病毒軟體，以及不安全的程式碼實踐，都可能對你的數據以及客戶和用戶的數據造成重大損害。

Monotype Fonts 在技術上是安全的，並且獲得了 ISO 27001:2013 認證。Monotype Fonts 具備嚴格的實體、虛擬和使用控制，讓你可以放心，數據不會受到漏洞和攻擊的威脅。通過基礎設施即服務（IaaS）提供商和 Monotype 管理的數據中心，保證 99.5% 的正常運行時間。所有由 Monotype Fonts 處理的數據均受到傳輸層安全（TLS）加密的保護。

過時的組件

隨時掌握系統中所有組件的狀態是相當重要的。未使用或過時的組件可能會使整個系統面臨攻擊的風險，因此在更新和修補程序推出後，應儘快實施。

如果你已經有這些措施，但引入的其他軟體仍可能造成漏洞，那就更需要關注供應商在保持整體系統更新方面的用心程度。

獲得 ISO 27001:2013 認證意味著 Monotype Fonts 會定期進行安全檢查、掃描和滲透測試，以確保軟體和配置都是最新的。對於最終用戶來說，Monotype 桌面應用程式的更新和修補是自動進行的（就像任何其他桌面應用程式一樣）。

安全使用字體

使用字體的首要法則是：僅從可信賴的來源下載字體。如果可能，應設置阻擋那些可能攜帶惡意檔案的免費字體網站，並確保每台公司設備都配備正常運行且更新的防惡意軟體，能在下載時掃描可能的惡意程式。

任何你計劃引入技術堆疊的第三方字體庫或字體管理解決方案，應該具備以下安全措施：

1. 保護所有信息：防止未經授權的訪問，並設置通知以告知任何違規或敏感數據曝光情況。
    
2. 保留用戶的擁有權和控制權：允許用戶決定收集哪些信息、訪問所有收集的信息、定義信息的使用方式，以及決定何時刪除該信息。
    
3. 合法使用信息：確保收集的信息僅用於合法的商業目的，並且在未經明確授權的情況下不會用於銷售和/或市場推廣。
    
4. 數據刪除證明：在合約終止後，提供證據證明你的數據已完全從其系統中移除。
    
5. 高正常運行時間保證：保證服務不會因任何災難或其他問題而中斷。
    
6. 數據加密：對有關你公司的任何數據（無論是傳輸中的數據還是靜態數據）使用最先進的加密技術進行保護。

使用一個能與公司現有的存取管理系統整合的工具，或簡化用戶上線和訪問控制的流程是很重要的。

Monotype Fonts 具備上述所有安全措施，讓你的創意工作者能夠輕鬆且安全地使用字體。

Monotype Fonts：安全地將數千種高品質字體引入你的字體庫

像 Monotype Fonts 這樣的字體庫和管理工具，為你的創意團隊提供高品質字體，同時不會危及你的網絡安全。其廣泛的內部和外部用戶協作功能，允許團隊成員在完全安全和私密的工作空間中協作，支持複雜的工作流程。這種安全靈活性由基於存取需求的自定義角色、權限和團隊所實現。

此外，Monotype Fonts 還簡化了授權流程，訂閱模式意味著你可以選擇最符合團隊財務利益的計劃。