保护网络帐号安全是一个老生常谈的话题,今天的一件事让我认为有重复这个话题的必要。
今天Twitter上发生了一件让人担忧的事情,著名的维权人士冯正虎的帐号被调包。所谓调包,是指帐号ID和另一个帐号的ID互换,但本ID的followers和followings保持不变。当推友发现调包这一情况后,调包操作者迅速将帐号恢复。
另外,去年也有人发现自己的Gmail帐户被入侵,邮箱被陌生IP登录、邮件被设置转发到一个陌生的帐户里。
Twitter调包与Gmail被入侵都是由于帐号密码被破解了,或许你觉得这种事不会降临到自己身上,因为你不是冯正虎,没有如此高的知名度。而你也没有颠覆国家政权的想法。但做好帐号安全的保护工作是必不可少的,你很难预测你的帐号有一天会不会真的被入侵。
保护好Gmail
Gmail是世界上最安全的邮箱之一,但它的安全性高低还取决于你的安全意识是否足够高。
去年Google发现中国政府试图入侵Gmail以获得维权人士的邮件,此事后来成为Google在中国停止搜索审查的导火线。以下是一些非常有效的保护Gmail帐号安全的实际措施。
至少2个帐号
你可能会在微博、博客、论坛、名片上公开你的email地址,这些渠道让你的email地址暴露到搜索引擎里、spammers手里。
为了让你的帐号更加安全,建议注册2个帐号。一个在公开场合交流,另一个从不公开,只用作熟悉的联系人之间通信。
Gmail是支持将邮件自动转发到另一邮箱的,你可以设置将公开邮箱的邮件全部自动转发到私密邮箱,并在私密邮箱里添加公开邮箱的帐号,设置使用对应的帐号进行回复。
这样,如果你的邮箱注定要被入侵,公开的邮箱会是一个很好的挡箭牌。
强劲的密码
这一条谁都知道,但不是谁都做得到。
很多人还在使用极其简单的密码,比如生日、手机号、车牌号、银行卡号、admin888之类的。
尝试锻炼你的记忆力吧,设置一个毫无规律的、包含字母大小写的、包含数字与符号的密码吧。
示例:
g8Bs?s2<@g!vc39llo
别忽视密码保护问题
这一条也是谁都知道,但也不是谁都能做到。
设置密码保护问题的原则是:只有你才知道。
比如“你小学三年级曾经暗恋谁?”,又或者设置一些让陌生人根本无法正确回答的问题,比如“苍井空、高树玛利亚和松岛枫你更喜欢谁?”,答案是“川岛和津实”。
使用一个私密的备份邮箱
万一你的邮箱真的被盗了,邮件被清空了怎么办?
事前的备份很重要。有两种备份方案:
(1)使用OutLook等客户端将邮件备份到本地
(2)将邮件自动转发到一个私密的备份邮箱
我推荐的是第二种做法,你可以设置将所有收件箱的邮件自动转发到备份邮箱,也可以设置一个过滤器,将符合某些规则的邮件转发到备份邮箱。
经常检查过滤器及邮件转发功能
前面提到,Gmail是可以设置将邮件自动转发到第二邮箱的,所以有可能你的邮箱被人入侵了,但他不修改你的密码,也不动你的设置,暗地里将你的邮件全部转发到其它邮箱。
所以我们应该定期检查Gmail的是否被设置了自动转发,同时也需要检查过滤器,看看是否存在可疑的情况,尤其是关于转发的过滤器:
检查邮箱的登录IP
在电脑上打开Gmail,你能在邮箱底部点击“详细信息”查看最近你的Gmail都从哪些IP登录过:
如果你在北京,发现有一个来自河南的IP登录过你的Gmail,那肯定是有问题的。
别在其它地方输入你的密码
很多SNS为了增加人气,都建议用户导入邮箱的联系人,看看联系人是否也在社区里。
IT业内人士或许都知道,像某些开心网,它不是真的“我们不会存储你的邮箱密码”,而是将用户的邮箱密码明文存储到数据库里。
这对邮箱安全造成了极大的威胁。
实际上,Google很早就推出了Contact API,任何网站想要获得用户的Gmail联系人信息都可以通过AuthSub或OAuth验证方式来获得授权,我不明白为什么国内的SNS还要用输入帐号密码这种让人如此不安的方式。
Facebook导入Google联系人就是用API,不需要用户在Facebook输入邮箱密码:
因此,我非常不建议读者们在SNS里输入邮箱密码导入联系人,如果非要导入,记得在导入后修改Gmail密码,并在Gmail里登出其它所有的会话。
别用国内的邮箱作为密码恢复邮箱
Google允许你设置一个邮箱作为密码恢复邮箱,当你忘记密码时可以用这个邮箱来恢复密码。
从审查机器以及QQ邮箱的过滤测试都能看出,国内的邮箱是信不过的。这不是企业的问题。
密码恢复邮箱最好是一个私密的邮箱,这个邮箱只用作密码恢复,平时不用来通信。
被盗后马上申诉
如果你的Gmail真的被盗了,密码、密码重置邮箱都被更改了,那么你可以向Google申诉要回帐号。关于申诉的细节,可以查看我以前写的文章。
保护好Twitter帐号安全
冯正虎先生Twitter帐号被调包的事情大致是这样的:
1、Twitter是允许用户修改ID的,ID修改后用户与其它用户的关系不会产生变化。
2、盗号者将自己的帐号 @fzhenghu540701 与冯正虎 @fzhenghu 的帐号对调。
3、对调ID必须有一个临时的ID作中转,这个临时的ID是 @fzhenghu540705 。
4、盗号行为被发现后,盗号者准备再次对调,也就是恢复原状。
5、但在第二次对调过程中,盗号者的原帐号 @fzhenghu540701 这个ID被另一位用户( @putuoshan )抢注了。
6、最后冯正虎的ID被恢复为 @fzhenghu ,但盗号者只能用临时ID @fzhenghu540705 作为帐号。
7、后来疑似 @putuoshan 注册了一个新帐号,并将 @fzhenghu540701 赋予到这个ID上。
或许文字描述有点复杂,可以看看下面的时间线,红色字符表示该次变动的帐号:
盗号者的行为被揭发后,还表示:
“我是推特黑老虎。黑我想黑的,下一个就是温云超。”
“先给大家预告下,2010年7月7日晚上7时7分,准时黑温云超。”
然后过了2个小时,这个盗号者的帐号状态显示为 suspended (停用)。
2010年6月2日14:45更新:根据 @issac 认为这次调包行为是计划好的,包括恢复帐号、停用帐号,所有行为都是预先计划好的。
对于保护Twitter帐号的安全,有2点建议:
对陌生的Twitter客户端说不
不要在使用之前没有使用过的客户端,除非之前有其他推友介绍过,或者你信任的博客、论坛有介绍过。
如果你有一个在外国的php空间,建议自行搭建Twitter客户端,Twitese、Rabr、Dabr这些客户端都是开源的,最多只需要配置一两个参数,然后上传到空间就能使用。
尽量使用Oauth登录
和Google Contact一样,Twitter提供了更为安全的第三方登录方案。如果你的Twitter客户端登录界面是这样的,那就是支持Oauth登录:
如果你使用的第三方客户端支持Oauth验证,最好是使用这种方式,这样第三方就无法获取你的Twitter密码。
Oauth验证最麻烦的一点在于验证的时候需要打开twitter.com,也就是说,这一步需要翻墙。
深夜,终于前排了。
这个问题是很严重,今天在推上也看到了,翻墙的确不安全,这两天看到网上传qq protecter,不知道效果如何。
从审查机器以及QQ邮箱的过滤测试都能看出,国内的邮箱是信不过的。这不是企业的问题。
————————
这点我也非常赞同,腾讯的TM能做那么符合我以及一些朋友的用户习惯,工具,永远是取决于使用者的。
[…] This post was mentioned on Twitter by Jason Ng, 狒狒要是死在海地也能发烈士奖章吗, 中山狼, 许然诺, SicilyOrange and others. SicilyOrange said: RT @xiaolai: RT @EnochLu: RT @jason5ng32: 新文章,保护好Gmail与Twitter帐号安全 http://www.kenengba.com/post/2960.html […]
话说密码恢复邮箱应该用那个好?Hotmail天朝用户的服务器在天朝么
深夜翻墙来看贴,用推特尽量不要发有个人隐私的贴,用搜索引擎查ID很容易找到的,
“苍井空、高树玛利亚和松岛枫你更喜欢谁?”,答案是“川岛和津实”。哈哈哈~~~典型的禅叔式行文,好玩。嗯,对大多数宅男来说寓教于乐,印象深刻~~
之前只把密码泄露给豆瓣,原来GOOGLE有Contact API,豆瓣很可恶。QQ 侦探非常实用,早就要想要一个这样的软件了。
向来只用Twitter的官方https 的API…不用第三方架的..
请问可能吧,这里只证明了QQ确实扫描了用户的文件,但是没有证明其它即时通讯软件例如大力推荐的Gtalk等就没有扫描用户文件,如果我以QQ扫描用户文件劝别人不要使用QQ而对方这样反问我,我该怎么回答?
按照那个方法验证就可以了
如果现在启用私密的 Gmail。转移 Gtalk 好友就比较麻烦了。外漏那个加很多人了。
我觉得gappproxy还是比较可靠的翻墙方式
webqq是明文传输,最好别用
对,我也注意到了,http
其实我们有一招叫做自我河蟹……本人宣扬不和谐的东西都是这样发的…………
http://image11free.appspot.com/image/4001/
PS:我一直用WEBQQ,只是因为QQ太占资源了,老爷机run不起来……
呵呵,文章不错,其实冯正虎也木有颠覆国家政权的想法吧?
好文章,够全面,我喜欢。
我用hotmail和gmail,我想问问,hotmail有没有帮助龚妃干坏事的嫌疑??
作为不明真相人士读完此文,除了换个新的gmail密码,并无其他操作。保持淡定。
“因为你不是冯正虎,也没有颠覆国家政权的想法” 这一句话有语病。逻辑上给人以“冯正虎有颠覆国家政权的想法”,但这和事实是不符合的,冯老师没有颠覆政权的想法。
可能改成这样比较合适:因为你不是冯正虎,没有这么高的关注度,也没有颠覆国家政权的想法,不是“特别关注名单”里面的人。
谢谢建议,已更改。
改成分号会更准确些吧。现在的句子还是可以理解成“冯正虎有很高的知名度,并且有颠覆国家政权的想法”。
并非挑刺,只是希望能尽量减少歧义。
我很欣赏你的咬文嚼字,真的。
支持
g8Bs?s2<@g!vc39llo
难道真有人用这样的密码?膜拜啊
可能吧可以非周期性的正常访问,今天无须翻墙,我又来了
六月二号,嗯……那位“鄙视”也是6.2才来的,两者间或许……沉思中……
楼主忘了最重要的一条了:定期更改密码。 一个密码用上三五年,这是非常大的安全隐患。
左拉同学发现的Gmail钓鱼网站 http://mail.google.com.mail.sh va.inbox.237563e373a 3475.1.1z1.net.cn:7321/ index-11e58693874e539 89382a93487538fea3459 /ad.php 见 @zuola 的 http://twitter.com/zuola/status/12618613268 http://twitter.com/zuola/status/12870301080 https://www.zuola.com/weblog/?p=1088
根据MS的研究,是否定期更改密码意义不大。因为黑客一旦得手,通常立刻就会动手进行破坏或去得到他们想要得到的东西,不会等待。经常更改密码也很麻烦,带来更多的成本。
这是MS的研究结论,我觉得是有道理的。如果我是黑客,黑了你的电脑,我肯定一天之内就会遍历你的电脑,拷贝我想要的资料,并设好木马,那样你改密码也没用。如果我黑了你的邮箱,我会立刻发邮件给所有联系人,告诉他们我的帐号已经更改……
还有一点
“Gmail是支持将邮件自动转发到另一邮箱的,你可以设置将公开邮箱的邮件全部自动转发到私密邮箱,并在私密邮箱里添加公开邮箱的帐号,设置使用对应的帐号进行回复。”
这样做的话,那么只要他们进入了公开邮箱,那么不就也看到了私密邮箱地址了?