跳到正文
可能吧

保护好Gmail与Twitter帐号安全

7 分钟阅读 快读 3 分钟 互联网络

保护网络帐号安全是一个老生常谈的话题,今天的一件事让我认为有重复这个话题的必要。

今天Twitter上发生了一件让人担忧的事情,著名的维权人士冯正虎的帐号被调包。所谓调包,是指帐号ID和另一个帐号的ID互换,但本ID的followers和followings保持不变。当推友发现调包这一情况后,调包操作者迅速将帐号恢复。

另外,去年也有人发现自己的Gmail帐户被入侵,邮箱被陌生IP登录、邮件被设置转发到一个陌生的帐户里。

Twitter调包与Gmail被入侵都是由于帐号密码被破解了,或许你觉得这种事不会降临到自己身上,因为你不是冯正虎,没有如此高的知名度。而你也没有颠覆国家政权的想法。但做好帐号安全的保护工作是必不可少的,你很难预测你的帐号有一天会不会真的被入侵。

保护好Gmail

Gmail是世界上最安全的邮箱之一,但它的安全性高低还取决于你的安全意识是否足够高。

去年Google发现中国政府试图入侵Gmail以获得维权人士的邮件,此事后来成为Google在中国停止搜索审查的导火线。以下是一些非常有效的保护Gmail帐号安全的实际措施。

至少2个帐号

你可能会在微博、博客、论坛、名片上公开你的email地址,这些渠道让你的email地址暴露到搜索引擎里、spammers手里。

为了让你的帐号更加安全,建议注册2个帐号。一个在公开场合交流,另一个从不公开,只用作熟悉的联系人之间通信。

Gmail是支持将邮件自动转发到另一邮箱的,你可以设置将公开邮箱的邮件全部自动转发到私密邮箱,并在私密邮箱里添加公开邮箱的帐号,设置使用对应的帐号进行回复。

这样,如果你的邮箱注定要被入侵,公开的邮箱会是一个很好的挡箭牌

强劲的密码

这一条谁都知道,但不是谁都做得到。

很多人还在使用极其简单的密码,比如生日、手机号、车牌号、银行卡号、admin888之类的。

尝试锻炼你的记忆力吧,设置一个毫无规律的、包含字母大小写的、包含数字与符号的密码吧。

示例:

g8Bs?s2<@g!vc39llo

别忽视密码保护问题

这一条也是谁都知道,但也不是谁都能做到。

设置密码保护问题的原则是:只有你才知道。

比如“你小学三年级曾经暗恋谁?”,又或者设置一些让陌生人根本无法正确回答的问题,比如“苍井空、高树玛利亚和松岛枫你更喜欢谁?”,答案是“川岛和津实”。

使用一个私密的备份邮箱

万一你的邮箱真的被盗了,邮件被清空了怎么办?

事前的备份很重要。有两种备份方案:

(1)使用OutLook等客户端将邮件备份到本地

(2)将邮件自动转发到一个私密的备份邮箱

我推荐的是第二种做法,你可以设置将所有收件箱的邮件自动转发到备份邮箱,也可以设置一个过滤器,将符合某些规则的邮件转发到备份邮箱。

经常检查过滤器及邮件转发功能

前面提到,Gmail是可以设置将邮件自动转发到第二邮箱的,所以有可能你的邮箱被人入侵了,但他不修改你的密码,也不动你的设置,暗地里将你的邮件全部转发到其它邮箱

所以我们应该定期检查Gmail的是否被设置了自动转发,同时也需要检查过滤器,看看是否存在可疑的情况,尤其是关于转发的过滤器:

 

检查邮箱的登录IP

在电脑上打开Gmail,你能在邮箱底部点击“详细信息”查看最近你的Gmail都从哪些IP登录过:

如果你在北京,发现有一个来自河南的IP登录过你的Gmail,那肯定是有问题的。

别在其它地方输入你的密码

很多SNS为了增加人气,都建议用户导入邮箱的联系人,看看联系人是否也在社区里。

IT业内人士或许都知道,像某些开心网,它不是真的“我们不会存储你的邮箱密码”,而是将用户的邮箱密码明文存储到数据库里

这对邮箱安全造成了极大的威胁。

实际上,Google很早就推出了Contact API,任何网站想要获得用户的Gmail联系人信息都可以通过AuthSub或OAuth验证方式来获得授权,我不明白为什么国内的SNS还要用输入帐号密码这种让人如此不安的方式。

Facebook导入Google联系人就是用API,不需要用户在Facebook输入邮箱密码:

因此,我非常不建议读者们在SNS里输入邮箱密码导入联系人,如果非要导入,记得在导入后修改Gmail密码,并在Gmail里登出其它所有的会话

别用国内的邮箱作为密码恢复邮箱

Google允许你设置一个邮箱作为密码恢复邮箱,当你忘记密码时可以用这个邮箱来恢复密码。

审查机器以及QQ邮箱的过滤测试都能看出,国内的邮箱是信不过的。这不是企业的问题

密码恢复邮箱最好是一个私密的邮箱,这个邮箱只用作密码恢复,平时不用来通信。

被盗后马上申诉

如果你的Gmail真的被盗了,密码、密码重置邮箱都被更改了,那么你可以向Google申诉要回帐号。关于申诉的细节,可以查看我以前写的文章

保护好Twitter帐号安全

冯正虎先生Twitter帐号被调包的事情大致是这样的:

1、Twitter是允许用户修改ID的,ID修改后用户与其它用户的关系不会产生变化。

2、盗号者将自己的帐号 @fzhenghu540701 与冯正虎 @fzhenghu 的帐号对调。

3、对调ID必须有一个临时的ID作中转,这个临时的ID是 @fzhenghu540705 。

4、盗号行为被发现后,盗号者准备再次对调,也就是恢复原状。

5、但在第二次对调过程中,盗号者的原帐号 @fzhenghu540701 这个ID被另一位用户( @putuoshan )抢注了

6、最后冯正虎的ID被恢复为 @fzhenghu ,但盗号者只能用临时ID @fzhenghu540705 作为帐号。

7、后来疑似 @putuoshan 注册了一个新帐号,并将 @fzhenghu540701 赋予到这个ID上。

或许文字描述有点复杂,可以看看下面的时间线,红色字符表示该次变动的帐号:

盗号者的行为被揭发后,还表示:

“我是推特黑老虎。黑我想黑的,下一个就是温云超。”

先给大家预告下,2010年7月7日晚上7时7分,准时黑温云超。

然后过了2个小时,这个盗号者的帐号状态显示为 suspended (停用)

2010年6月2日14:45更新:根据 @issac 认为这次调包行为是计划好的,包括恢复帐号、停用帐号,所有行为都是预先计划好的。

对于保护Twitter帐号的安全,有2点建议:

对陌生的Twitter客户端说不

不要在使用之前没有使用过的客户端,除非之前有其他推友介绍过,或者你信任的博客、论坛有介绍过。

如果你有一个在外国的php空间,建议自行搭建Twitter客户端,TwiteseRabrDabr这些客户端都是开源的,最多只需要配置一两个参数,然后上传到空间就能使用。

尽量使用Oauth登录

和Google Contact一样,Twitter提供了更为安全的第三方登录方案。如果你的Twitter客户端登录界面是这样的,那就是支持Oauth登录:

如果你使用的第三方客户端支持Oauth验证,最好是使用这种方式,这样第三方就无法获取你的Twitter密码。

Oauth验证最麻烦的一点在于验证的时候需要打开twitter.com,也就是说,这一步需要翻墙。

其它需要注意的问题

拒绝腾讯官方QQ客户端

网友已经证明腾讯官方的QQ客户端(Windows)会扫描用户的上网记录、文档,并会将数据上传到服务器。

听起来很恐怖?

是的,真的很恐怖。

试想你的浏览历史全部都会被收集起来,你浏览器保存的密码也有可能被收集到腾讯的服务器

要让一个人放弃使用QQ是很难的,如果你必须要使用QQ,可以尝试使用WebQQ,也可以安装这个由网友编写的QQ侦探,它会阻止QQ对电脑的扫描。

公用电脑上使用隐私浏览模式

现在,最新版本的Firefox、Chrome、Safari等都有“隐私浏览模式”,如果你需要在公用电脑上使用浏览器,最好使用隐私模式。

使用可信的翻墙工具

翻墙调查里我了解到,很多人使用无界浏览、自由门等翻墙软件。这些软件使用方便,而且免费,所以用户群很庞大。

但是,这些翻墙软件不一定能很好地保护你的隐私,虽然没有明显的证据证明这些软件会做“坏事”,但如果你能更好地掌控你的翻墙工具,不是更安全么?

除了Tor,我不推荐其它免费的翻墙工具(有时候Tor也不一定安全),除非你在翻墙的过程中不输入任何登录信息。

我更推荐有翻墙需求的人购买信得过的VPN或SSH,又或者自己购买一个外国空间,架设代理自己使用。一年花费一两百在翻墙上并不算多。

我其中一个SSH帐号是在这里购买的“学习主机”,有兴趣的读者可以看看。

作者

Jason Ng

Jason Ng

热门评论

  • 35 71

    抗议》可能吧,《抗议》jason5ng32 正式通告可能吧和jason5ng32。 几个月前,我在你们网站www.kenengba.com里留言,反对了你们的一些观点。但我还一直对你们给大家输出所谓”公平自由“的价值观很信任。出于这种信任,我在留言里留下了我真实的Email地址。我相信你jason5ng32,不会公开我的个人隐私。而且在你们回复栏的上面还【特意说明】了一下,【【【你的Email永远不会被公开 加*为必填项】】】,并且咱俩还在Email里交流过。 刚才我无意中搜索了一下我的email地址,没想到jason5ng32,你居然把我留言时留下的Email地址给我公开了出来。你公开我的回复没有关系,但你为什么要把我的个人Email地址一起公开出来,并且在多个网站,还有twitter.com/@jason5ng32里给我公开出来。 于是我又搜索了一下,发现还有其他人在可能吧里的留言连同Email一起,你也给公开出来了。而且都是和你有不同观点的人。 jason5ng32,我现在非常怀疑你的人品以及你所输出的思想。 你公开的这些个人隐私的数据证据和视频证据,我都保留了下来。 现在我要求你,把这些发布的个人隐私,马上从网上清除掉。并且用Email方式和在可能吧里公开给我道歉。 希望可能吧和jason5ng32,三日内给我回应,五日内给我清除。我将保留采取进一步措施的权利。 这个留言下填写的,也是我真实的另一个Email地址。 以上通知,我发表于2010年5月24日 ★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★ ★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★ jason5ng32,我等了你三天,我又等了你五天。你不解释,你不回应,你不道歉。你选择了拒绝做一个真实的人。 此片文章正好可以印证,你一边在网上告诉网友如何保护个人隐私,而私底下却在公开别人的隐私。那我就把视频证据和数据证据上传到网上,揭露你虚伪、丑陋的人品。 我将在本周日(2010年6月6日),给大家公布出来。

    — 鄙视

  • 54 8

    不急,我和你们一样,很想看看这位“鄙视”公布什么东西出来。

    — Jason Ng

  • 44 0

    表示非常有兴趣围观你准备公开的东西……最好有你的搜索结果,以作为证据,我们这些屁民会帮你作证的。

    — 飘雪幻幻

  • 13 21

    jason5ng32, 终于看到你回了一句话,一句无力的话。一句”不急“概括了千言万语。 你不敢拍着胸脯说:"我没有泄露过别人的隐私"。因为你的罪证已经被别人掌握。 因为你比任何人都清楚,你泄露过别人的隐私。 你又不敢承认你的错误,因为一旦承认,那这几年你用虚伪谎言塑造的正义、公平、公正的形象,就毁于一旦了。 所以你一直不回应,选择沉默。你在祈祷,我取得的证据能让你抓着把柄进行狡辩,能让你洗清罪名。 在我的证据公布前,就算以上都是假设。你敢拍着胸脯说:"我没有泄露过别人的隐私"吗?。你不敢。 我之前给你留了一条正确的道路,你不走,你为要赌一次。那我就开你的牌,把你的底牌给大家亮出来。 ======================================== 你太厉害了 为什么我用上面投诉你的那个邮箱不能留言了???为什么我不能给骂我的人投反对票???你确实很厉害,你想控制什么?

    — 鄙视

  • 30 2

    6月6日不公开的是孙子 :-)

    — Kamus

相关文章

订阅 · 关注

243 条评论

加入讨论 ↓

  1. GhostZodick
    GhostZodick

    用QQ的被盗号都活该!!谁来我家我都不让他用我的电脑上QQ,网页QQ也不行!

  2. CloudZhang
    CloudZhang

    我想问下为啥我的win7运行那个QQDetective的时候 半天都还在初始化?还得开任务管理器才能关的掉 btw我win7是64位的

  3. xslidian
    xslidian

    一直用 ipv6 访问 Gmail
    猛然发现 ip 地址那里写着“Unavailable”

    另外今天 TM 2009 Beta 3.0 (1130) 提示要升级
    不知道是不是特意增加了某些功能

  4. zaiyouxian
    zaiyouxian

    为什么我的gmail上查看帐号活动信息时,浏览器没有鉴别出,ip全部显示”不可用“呢?只有时间显示是正常~~

  5. Louis Han
    Louis Han

    比如“苍井空、高树玛利亚和松岛枫你更喜欢谁?”,答案是“川岛和津实”

    这个够狠

  6. 淼淼
    淼淼

    这世界太危险了~ 现实,虚拟,什么都好危险的 。。。现在最怕的是网银和支付宝里面米。。。

  7. AA
    AA

    试用了一下QQ侦探,发现传输文件的时候被禁止更改目标文件夹……改什么设置都没有用
    我想说这个是蛮致命的缺陷~作为一名学生用QQ很大程度上都是和同学交流以及传输文件~不能另存为就增加了很多的工作量~

    1. basncy
      basncy

      传文件我一般是自己上传到自己的服务器上,再给出地址给别人下载。
      如果是局域网,那就用飞秋之类的软件
      QQ上很多人,很闹,用skype国际版和周围的人聊天,方便快捷

  8. 四不象
    四不象

    Gmail是支持将邮件自动转发到另一邮箱的,你可以设置将公开邮箱的邮件全部自动转发到私密邮箱,并在私密邮箱里添加公开邮箱的帐号,设置使用对应的帐号进行回复。

    =====================
    不认可这样操作,如果公开邮箱被破解,私密邮箱一样会暴露,应该在私密邮箱里设置pop3收取公开邮箱的邮件

  9. kevin
    kevin

    我发现Gmail的密码恢复邮箱和安全提示问题都只要登录就可以改,连个认证的手续都没有。那如果邮箱被入侵了这些恢复手段岂不是形同虚设?

  10. 冷眼旁观
    冷眼旁观

    俺是P民,暂时没被国家关注,不当言论都在脑子里删了!一般只是路过!

26 条引用 / Pingback 展开

发表评论

您的邮箱地址不会被公开。 必填项已用 * 标注

支持的格式(点击展开)

评论支持基础格式,HTML 标签和 BBCode 简写都可以:

  • 粗体<strong>文字</strong>[b]文字[/b]
  • 斜体<em>文字</em>[i]文字[/i]
  • 引用:<blockquote>文字</blockquote>[quote]文字[/quote]
  • 图片:<img src="URL" alt="">[img]URL[/img]
  • 行内代码:<code>code</code>[code]code[/code]

为防垃圾留言,超链接(<a>)暂不支持。

最新文章

最新评论

文章归档

友情链接