保护网络帐号安全是一个老生常谈的话题,今天的一件事让我认为有重复这个话题的必要。
今天Twitter上发生了一件让人担忧的事情,著名的维权人士冯正虎的帐号被调包。所谓调包,是指帐号ID和另一个帐号的ID互换,但本ID的followers和followings保持不变。当推友发现调包这一情况后,调包操作者迅速将帐号恢复。
另外,去年也有人发现自己的Gmail帐户被入侵,邮箱被陌生IP登录、邮件被设置转发到一个陌生的帐户里。
Twitter调包与Gmail被入侵都是由于帐号密码被破解了,或许你觉得这种事不会降临到自己身上,因为你不是冯正虎,没有如此高的知名度。而你也没有颠覆国家政权的想法。但做好帐号安全的保护工作是必不可少的,你很难预测你的帐号有一天会不会真的被入侵。
保护好Gmail
Gmail是世界上最安全的邮箱之一,但它的安全性高低还取决于你的安全意识是否足够高。
去年Google发现中国政府试图入侵Gmail以获得维权人士的邮件,此事后来成为Google在中国停止搜索审查的导火线。以下是一些非常有效的保护Gmail帐号安全的实际措施。
至少2个帐号
你可能会在微博、博客、论坛、名片上公开你的email地址,这些渠道让你的email地址暴露到搜索引擎里、spammers手里。
为了让你的帐号更加安全,建议注册2个帐号。一个在公开场合交流,另一个从不公开,只用作熟悉的联系人之间通信。
Gmail是支持将邮件自动转发到另一邮箱的,你可以设置将公开邮箱的邮件全部自动转发到私密邮箱,并在私密邮箱里添加公开邮箱的帐号,设置使用对应的帐号进行回复。
这样,如果你的邮箱注定要被入侵,公开的邮箱会是一个很好的挡箭牌。
强劲的密码
这一条谁都知道,但不是谁都做得到。
很多人还在使用极其简单的密码,比如生日、手机号、车牌号、银行卡号、admin888之类的。
尝试锻炼你的记忆力吧,设置一个毫无规律的、包含字母大小写的、包含数字与符号的密码吧。
示例:
g8Bs?s2<@g!vc39llo
别忽视密码保护问题
这一条也是谁都知道,但也不是谁都能做到。
设置密码保护问题的原则是:只有你才知道。
比如“你小学三年级曾经暗恋谁?”,又或者设置一些让陌生人根本无法正确回答的问题,比如“苍井空、高树玛利亚和松岛枫你更喜欢谁?”,答案是“川岛和津实”。
使用一个私密的备份邮箱
万一你的邮箱真的被盗了,邮件被清空了怎么办?
事前的备份很重要。有两种备份方案:
(1)使用OutLook等客户端将邮件备份到本地
(2)将邮件自动转发到一个私密的备份邮箱
我推荐的是第二种做法,你可以设置将所有收件箱的邮件自动转发到备份邮箱,也可以设置一个过滤器,将符合某些规则的邮件转发到备份邮箱。
经常检查过滤器及邮件转发功能
前面提到,Gmail是可以设置将邮件自动转发到第二邮箱的,所以有可能你的邮箱被人入侵了,但他不修改你的密码,也不动你的设置,暗地里将你的邮件全部转发到其它邮箱。
所以我们应该定期检查Gmail的是否被设置了自动转发,同时也需要检查过滤器,看看是否存在可疑的情况,尤其是关于转发的过滤器:
检查邮箱的登录IP
在电脑上打开Gmail,你能在邮箱底部点击“详细信息”查看最近你的Gmail都从哪些IP登录过:
如果你在北京,发现有一个来自河南的IP登录过你的Gmail,那肯定是有问题的。
别在其它地方输入你的密码
很多SNS为了增加人气,都建议用户导入邮箱的联系人,看看联系人是否也在社区里。
IT业内人士或许都知道,像某些开心网,它不是真的“我们不会存储你的邮箱密码”,而是将用户的邮箱密码明文存储到数据库里。
这对邮箱安全造成了极大的威胁。
实际上,Google很早就推出了Contact API,任何网站想要获得用户的Gmail联系人信息都可以通过AuthSub或OAuth验证方式来获得授权,我不明白为什么国内的SNS还要用输入帐号密码这种让人如此不安的方式。
Facebook导入Google联系人就是用API,不需要用户在Facebook输入邮箱密码:
因此,我非常不建议读者们在SNS里输入邮箱密码导入联系人,如果非要导入,记得在导入后修改Gmail密码,并在Gmail里登出其它所有的会话。
别用国内的邮箱作为密码恢复邮箱
Google允许你设置一个邮箱作为密码恢复邮箱,当你忘记密码时可以用这个邮箱来恢复密码。
从审查机器以及QQ邮箱的过滤测试都能看出,国内的邮箱是信不过的。这不是企业的问题。
密码恢复邮箱最好是一个私密的邮箱,这个邮箱只用作密码恢复,平时不用来通信。
被盗后马上申诉
如果你的Gmail真的被盗了,密码、密码重置邮箱都被更改了,那么你可以向Google申诉要回帐号。关于申诉的细节,可以查看我以前写的文章。
保护好Twitter帐号安全
冯正虎先生Twitter帐号被调包的事情大致是这样的:
1、Twitter是允许用户修改ID的,ID修改后用户与其它用户的关系不会产生变化。
2、盗号者将自己的帐号 @fzhenghu540701 与冯正虎 @fzhenghu 的帐号对调。
3、对调ID必须有一个临时的ID作中转,这个临时的ID是 @fzhenghu540705 。
4、盗号行为被发现后,盗号者准备再次对调,也就是恢复原状。
5、但在第二次对调过程中,盗号者的原帐号 @fzhenghu540701 这个ID被另一位用户( @putuoshan )抢注了。
6、最后冯正虎的ID被恢复为 @fzhenghu ,但盗号者只能用临时ID @fzhenghu540705 作为帐号。
7、后来疑似 @putuoshan 注册了一个新帐号,并将 @fzhenghu540701 赋予到这个ID上。
或许文字描述有点复杂,可以看看下面的时间线,红色字符表示该次变动的帐号:
盗号者的行为被揭发后,还表示:
“我是推特黑老虎。黑我想黑的,下一个就是温云超。”
“先给大家预告下,2010年7月7日晚上7时7分,准时黑温云超。”
然后过了2个小时,这个盗号者的帐号状态显示为 suspended (停用)。
2010年6月2日14:45更新:根据 @issac 认为这次调包行为是计划好的,包括恢复帐号、停用帐号,所有行为都是预先计划好的。
对于保护Twitter帐号的安全,有2点建议:
对陌生的Twitter客户端说不
不要在使用之前没有使用过的客户端,除非之前有其他推友介绍过,或者你信任的博客、论坛有介绍过。
如果你有一个在外国的php空间,建议自行搭建Twitter客户端,Twitese、Rabr、Dabr这些客户端都是开源的,最多只需要配置一两个参数,然后上传到空间就能使用。
尽量使用Oauth登录
和Google Contact一样,Twitter提供了更为安全的第三方登录方案。如果你的Twitter客户端登录界面是这样的,那就是支持Oauth登录:
如果你使用的第三方客户端支持Oauth验证,最好是使用这种方式,这样第三方就无法获取你的Twitter密码。
Oauth验证最麻烦的一点在于验证的时候需要打开twitter.com,也就是说,这一步需要翻墙。
话说在过两天又到中国互联网维护日了,大家当心自己邮箱吧……
没有绝对的帐号安全,除非拒绝网络~
不知道是我高估了他们的智商还是你低估了他们的智商。
从短期的效果来看,抢是比偷利索。但是长远来看不是这样。
偷:秘密的,被偷者很可能不知道是谁偷的,无法律保护导致被偷者投诉无门。
抢:公开的,容易引起被抢者的反抗。因为有法律(尽管是装饰门面用的),被抢者可以申诉,抢方需要想办法捏造罪行才行。而且随着被抢方的维权后续还有很多对抢方来说很麻烦的事情。
也许你会说抢劫者会不计后果的抢,那么这“后果”便是成本。
我刚刚忽然有了冒充“鄙视”鄙视“鄙视”的冲动。
我就是注册了2个gmail,一个对内一个对外
我一直以来都很喜欢可能吧,里面说的东西我都会去试试。
下面这个情况我已经给博主推特留言了,在这里留言希望大家都能看到。我不是说博主不好,作为读者也有责任提醒其他读者注意安全。
我昨天上午安装了qq侦探,然后今天早上qq密码就变了,还好我有密码保护,找回了密码。
我觉得我的个人安全意识还行,不会被网上那种钓鱼网页骗密码,不会下载任何我不熟悉的软件,我怀疑qq密码被改跟qq侦探有关系,但是我没有证据,因为我还没有在虚拟机里面测试它的行为。
我觉得有必要在这里提醒一下大家。
jason ng大大希望您能够帮助大家查清楚一下这个软件是不是有盗号行为,谢谢~
谢谢提醒,关于你提出的问题还需要进一步的证据。
我也在今天改密之前多次qq别处登录而下线
很实用!好文章!
我唯一好奇的是, 为什么在这里留言, Email选项是必填的呢?
不知道留Email选项有啥意义
这个Email我用的是假的
这个选项只和WordPress有关,这是它的默认功能,可能只有修改源代码才能去掉这个功能。
凡是使用WordPress的Blog都是这样的,不仅仅是这里。
另外,WordPress是世界上最优秀的Blog系统之一。
关于使用两个 Gmail 邮箱那段。假设有A、B两个邮箱,其中A为私人邮箱,B为对外公开的邮箱。
这里有两个问题:
一、如果B被侵入的话,那么在里边设置成邮箱自动转发到A,A就会暴露。所以建议在A中选用POP3方式从B邮箱中收取邮件会更安全。
二、令我很困扰的是,用哪个邮箱来实现 Google Reader 的订阅呢?如果用A,那么当进行分享等操作的时候,就意味着这个邮箱会被“公开”,否则“分享”的意义就小了很多;如果用B,那么势必在方便性上就会差了很多。请赐教这个问题该如何处理。
用B怎么方便性就差很多?一样用嘛。
用法上当然一样。但我指的是既然A是主力邮箱了,那么用B“来实现 Google Reader 的订阅”,就等于阅读订阅的时候要登录B——你需要在两个邮箱之间来回切换……或者开两个不同的浏览器分别登录?
那就登出A再登录B呗。
有时候我会比较懒,在Chrome里Ctrl+Shift+N,打开隐身浏览窗口,登录非经常用的Gmail帐号,完事后关闭窗口,就好像什么事也没发生过一样。
我最近发现puff众多杀软都报毒了,puff的背景到底是啥?有篇文章分析他很神秘,我暂时还是用轮子的吧…
你要是不怀疑那些杀软的背景,这个问题你这辈子是别想清楚了。
具体哪些杀软请列出,另外把检测结果也报上来。
至少我的McAfee(XP)和MSE(Win7 x64)没报毒
今年年初,我的电脑就对Puff报毒了。之前一直用GAppProxy,最近貌似Google的https被封,搞不定了。现在被迫用轮子的门中。
对,我用的杀软是卡巴斯基。卡巴斯基和Puff有仇的摸?
看来要开始保护gmail账号了··
ext同学,你右愤了吧(我想问可能吧的言论现在还独立吗?),你在那些国外,包括纯美资企业的杀软上试试,反正报毒率高的不得了。等下我用工具分析下PUFF的壳。反正我是觉得天下没有免费的午餐,你搞木马后门什么的,就是不厚道,大家最好别用了。我建议使用那些非华人且与华人没有任何干系(包括汉化)的proxy,这样才能对你伤害降到最低,至少他们不懂得汉字。最近我在考虑国内的杀软云端问题,他可以光明正大的扫描你硬盘,再把他想要的上传到服务器。此楼外卖瓜子茶水零食,围观泄密事件。
既然你测试过了,请分享你的测试结果,不要无证据空谈。
据我测试,你说得有点夸张了。不是“报毒率高的不得了”,结果恰恰相反。
国外的大牌杀软只有:CP、F-Secure、IKARUS、Kaspersky、和SOPHOS报了。
其他的没报,且CP、IKARUS是误报率高于平均值的杀软。
除了SOPHOS报可疑行为(Sus/Behav-269)以外,另外四家报骇客工具(HackTool.Win32.MySqlHack)
McAfee(Hotmail服务器所使用)报了没?MSE(微软自家)报了没?
对华人伤害最大的历来就是懂汉字的人
为什么留言非要邮箱?既然是自由言论。
这是WordPress的功能,不是国人开发的,更和博主无关。
像咱这样的P民被盗了号也没用
Welcome to the world without walls and fenses!
NEEDS DONATION!
If you can’t,just tell your friends about this.It helps a lot.BUT DO NOT MENTION MY NAME!
REPORT GFWed Websites HERE.
Internet Explorer is banned.Sorry for that.
IPv6 HTTP proxy:gfw-proxy.co.cc:3128
EXAMPLE PAC FILE(Regularly Updated):http://gfw-proxy.co.cc/proxy.pac
RULE NUMBER ONE:
NEVER EVER COMPLAIN IF IT DOESN’T WORK FOR YOU.
Thank you Zhang Yichun for your donation(It’s a big money,thank you!)
Thank you Zhao Yiqi for your donation(twice!) 🙂
Thank you Deng Chengzhi for your donation:-)
刚刚打开http://www.twitter.com出现了上面的文字,怎么回事,twitter公然叫板GFW了
我打开其主页,并未发现以上文字。
试下不开所有的翻墙或代理软件,可惜这发不了图片
很可惜,twitter.com这个域名已经被DNS污染了,不开代理肯定是打不开的。
不知道你是怎么实现的。
应该是 gfw-proxy.co.cc 这个网站,也就是你用的代理,出来的信息
那个捐赠不知是真是假
显然是假的嘛,被劫持了。。
然后说不定5角就会借这个假的Report GFW和donation来宣传twitter怎么怎么
所以也不一定是Anti-GFW的干的,说不定就是5角自己干的
这年头,什么都有可能发生。。。
越来越像地下党了。
这文章太及时了。 我最近NETBOOK有毒,把qq卸载了,但是一卸载qq软件管理,他就自动安装qq,不知道为什么。我本身其实是电脑盲,只知道上网,不太懂技术,所以到可能吧学技术来的!这里的语言通俗易懂,老公也是高手,但是不好在他面前丢人现眼老是请教。
看到GMAIL的ip检查,我就赶紧去了,DETAIL里显示我最近都是在自家的ip上网的,庆幸一下。 下一步就乖乖去申请新的账户,向JASON说的,分开使用。。。
多谢!
我检查了下我的ip,发现有两个美国的,不知道是不是因为使用自由门时候登录邮箱的问题。这两个ip我网上也搜索不到记录。
https://docs.google.com/ViewDoc?docid=0AahDRK_oy3_TZGdqeHN4d3NfMTQ4ZnZwejZ3ZGc
这是在Google文档上找到的,看样子是真的,我通常用GAppProxy+Proxy Switchy翻墙,DNS用Google的8.8.4.4,IPv6作替补方案。今天打开twitter也不会出现上面的文字了,真是怪事。hosts里的twitter和facebook的IPv6地址也失效了。