保护网络帐号安全是一个老生常谈的话题,今天的一件事让我认为有重复这个话题的必要。
今天Twitter上发生了一件让人担忧的事情,著名的维权人士冯正虎的帐号被调包。所谓调包,是指帐号ID和另一个帐号的ID互换,但本ID的followers和followings保持不变。当推友发现调包这一情况后,调包操作者迅速将帐号恢复。
另外,去年也有人发现自己的Gmail帐户被入侵,邮箱被陌生IP登录、邮件被设置转发到一个陌生的帐户里。
Twitter调包与Gmail被入侵都是由于帐号密码被破解了,或许你觉得这种事不会降临到自己身上,因为你不是冯正虎,没有如此高的知名度。而你也没有颠覆国家政权的想法。但做好帐号安全的保护工作是必不可少的,你很难预测你的帐号有一天会不会真的被入侵。
保护好Gmail
Gmail是世界上最安全的邮箱之一,但它的安全性高低还取决于你的安全意识是否足够高。
去年Google发现中国政府试图入侵Gmail以获得维权人士的邮件,此事后来成为Google在中国停止搜索审查的导火线。以下是一些非常有效的保护Gmail帐号安全的实际措施。
至少2个帐号
你可能会在微博、博客、论坛、名片上公开你的email地址,这些渠道让你的email地址暴露到搜索引擎里、spammers手里。
为了让你的帐号更加安全,建议注册2个帐号。一个在公开场合交流,另一个从不公开,只用作熟悉的联系人之间通信。
Gmail是支持将邮件自动转发到另一邮箱的,你可以设置将公开邮箱的邮件全部自动转发到私密邮箱,并在私密邮箱里添加公开邮箱的帐号,设置使用对应的帐号进行回复。
这样,如果你的邮箱注定要被入侵,公开的邮箱会是一个很好的挡箭牌。
强劲的密码
这一条谁都知道,但不是谁都做得到。
很多人还在使用极其简单的密码,比如生日、手机号、车牌号、银行卡号、admin888之类的。
尝试锻炼你的记忆力吧,设置一个毫无规律的、包含字母大小写的、包含数字与符号的密码吧。
示例:
g8Bs?s2<@g!vc39llo
别忽视密码保护问题
这一条也是谁都知道,但也不是谁都能做到。
设置密码保护问题的原则是:只有你才知道。
比如“你小学三年级曾经暗恋谁?”,又或者设置一些让陌生人根本无法正确回答的问题,比如“苍井空、高树玛利亚和松岛枫你更喜欢谁?”,答案是“川岛和津实”。
使用一个私密的备份邮箱
万一你的邮箱真的被盗了,邮件被清空了怎么办?
事前的备份很重要。有两种备份方案:
(1)使用OutLook等客户端将邮件备份到本地
(2)将邮件自动转发到一个私密的备份邮箱
我推荐的是第二种做法,你可以设置将所有收件箱的邮件自动转发到备份邮箱,也可以设置一个过滤器,将符合某些规则的邮件转发到备份邮箱。
经常检查过滤器及邮件转发功能
前面提到,Gmail是可以设置将邮件自动转发到第二邮箱的,所以有可能你的邮箱被人入侵了,但他不修改你的密码,也不动你的设置,暗地里将你的邮件全部转发到其它邮箱。
所以我们应该定期检查Gmail的是否被设置了自动转发,同时也需要检查过滤器,看看是否存在可疑的情况,尤其是关于转发的过滤器:
检查邮箱的登录IP
在电脑上打开Gmail,你能在邮箱底部点击“详细信息”查看最近你的Gmail都从哪些IP登录过:
如果你在北京,发现有一个来自河南的IP登录过你的Gmail,那肯定是有问题的。
别在其它地方输入你的密码
很多SNS为了增加人气,都建议用户导入邮箱的联系人,看看联系人是否也在社区里。
IT业内人士或许都知道,像某些开心网,它不是真的“我们不会存储你的邮箱密码”,而是将用户的邮箱密码明文存储到数据库里。
这对邮箱安全造成了极大的威胁。
实际上,Google很早就推出了Contact API,任何网站想要获得用户的Gmail联系人信息都可以通过AuthSub或OAuth验证方式来获得授权,我不明白为什么国内的SNS还要用输入帐号密码这种让人如此不安的方式。
Facebook导入Google联系人就是用API,不需要用户在Facebook输入邮箱密码:
因此,我非常不建议读者们在SNS里输入邮箱密码导入联系人,如果非要导入,记得在导入后修改Gmail密码,并在Gmail里登出其它所有的会话。
别用国内的邮箱作为密码恢复邮箱
Google允许你设置一个邮箱作为密码恢复邮箱,当你忘记密码时可以用这个邮箱来恢复密码。
从审查机器以及QQ邮箱的过滤测试都能看出,国内的邮箱是信不过的。这不是企业的问题。
密码恢复邮箱最好是一个私密的邮箱,这个邮箱只用作密码恢复,平时不用来通信。
被盗后马上申诉
如果你的Gmail真的被盗了,密码、密码重置邮箱都被更改了,那么你可以向Google申诉要回帐号。关于申诉的细节,可以查看我以前写的文章。
保护好Twitter帐号安全
冯正虎先生Twitter帐号被调包的事情大致是这样的:
1、Twitter是允许用户修改ID的,ID修改后用户与其它用户的关系不会产生变化。
2、盗号者将自己的帐号 @fzhenghu540701 与冯正虎 @fzhenghu 的帐号对调。
3、对调ID必须有一个临时的ID作中转,这个临时的ID是 @fzhenghu540705 。
4、盗号行为被发现后,盗号者准备再次对调,也就是恢复原状。
5、但在第二次对调过程中,盗号者的原帐号 @fzhenghu540701 这个ID被另一位用户( @putuoshan )抢注了。
6、最后冯正虎的ID被恢复为 @fzhenghu ,但盗号者只能用临时ID @fzhenghu540705 作为帐号。
7、后来疑似 @putuoshan 注册了一个新帐号,并将 @fzhenghu540701 赋予到这个ID上。
或许文字描述有点复杂,可以看看下面的时间线,红色字符表示该次变动的帐号:
盗号者的行为被揭发后,还表示:
“我是推特黑老虎。黑我想黑的,下一个就是温云超。”
“先给大家预告下,2010年7月7日晚上7时7分,准时黑温云超。”
然后过了2个小时,这个盗号者的帐号状态显示为 suspended (停用)。
2010年6月2日14:45更新:根据 @issac 认为这次调包行为是计划好的,包括恢复帐号、停用帐号,所有行为都是预先计划好的。
对于保护Twitter帐号的安全,有2点建议:
对陌生的Twitter客户端说不
不要在使用之前没有使用过的客户端,除非之前有其他推友介绍过,或者你信任的博客、论坛有介绍过。
如果你有一个在外国的php空间,建议自行搭建Twitter客户端,Twitese、Rabr、Dabr这些客户端都是开源的,最多只需要配置一两个参数,然后上传到空间就能使用。
尽量使用Oauth登录
和Google Contact一样,Twitter提供了更为安全的第三方登录方案。如果你的Twitter客户端登录界面是这样的,那就是支持Oauth登录:
如果你使用的第三方客户端支持Oauth验证,最好是使用这种方式,这样第三方就无法获取你的Twitter密码。
Oauth验证最麻烦的一点在于验证的时候需要打开twitter.com,也就是说,这一步需要翻墙。
老大被请喝茶了?
阿禅的twitter被调包了????
[…] 但是!似乎情况并不是这样。因为我想,能快速清空Twitter账户的工具的确存在,比如Twitter Wipe,但是警察叔叔那么笨,肯定不会用这种工具,要让阿禅自己来清空,更是不太可能的吧(“可能吧”。。。) 果然,我仔细看了一下,注册时间是2010年6月4日。这明显是不正常的。再联想,可能吧前几天还报道过@fzhenghu的账户被调包的事件,看来阿禅的账户很可能是改名了。 改成什么了呢?在阿禅的女友@maoz姐姐那里应该有内容吧?赶紧转到@maoz姐姐的页面,一看,最后一条推是6月3日的,而今天已经6月5日了。我记得昨天@maoz是发过推说阿禅被抓走的,然而现在推都不见了,看来都是被删了,而且她本人也已经protected了。 那怎么才能找到阿禅的真身呢?Twitter上的User_name是可以随意更改的,但是有一个数字ID是亘古不变的,可惜我不知道阿禅的数字ID。但是,followers等是建立在数字ID的基础上的,这是不会变动的,所以我还是打算从@maoz入手,找阿禅真身。 @maoz姐姐是肯定fo了阿禅的,而且她只follow了一百多个人,所以就算一个一个翻过来也不是很费力。况且我还记得阿禅的bio是“我是自己的五毛党”这一句。于是乎,打开@maoz的friends页面,然后页面内搜索“五毛”。第一页找到一个结果,明显不是阿禅,第二页再搜索,找到了! […]
等着阿禅的更新,相信你能挺过来的。写个博客说点真话就要被骚扰,可见他们虚弱到什么程度。
[…] 尽管有官方的层层封锁,现在要玩翻墙还不算太难,只是最近两起知名人士的Twitter账户被调包事件实在令人不放心。其中一个被害者Jason Ng也曾提醒我们“使用可信任的翻墙工具”,因此,那些使用具有特殊政治背景的翻墙工具的用户,最好还是谨慎点。 什么是最值得信任的?当然是自己买的SSH、VPN之类,只不过……好吧,我这人比较吝啬,一时还舍不得花钱,另一方面也是因为我找到了一个可以信任的免费翻墙工具——hyk-proxy。 之所以说它值得信任,是因为它是基于Google App Engine的,反正都把邮件等交给Google了,再多一个浏览记录也没什么。也正因为它用的是Google大神的服务器,其速度和稳定性肯定是不用担心的,用来看Youtube也不含糊,估计收费的也不过如此。 另一个基于GAE的翻墙工具GAppProxy也有这些优点,不过hyk-proxy又拥有前者所不能的浏览https的能力;另外官方还宣称XMPP模式可以在GAE被墙的情况下实现翻墙,又是一优势,可惜最近GAE在包括“不存在的那一天”依然坚挺,我也无法测试是否真有那么神奇,只是感觉在速度上似乎没有多大影响。 不过hyk-proxy安装起来比较麻烦,官方的说明也稍微笼统了点,对GAE不熟的话不妨看看攻防日志的教程。另外Java运行起来也不太稳定,不过优点是可以跨平台。 […]
今天又想了想,总感觉禅叔是受到了相当严重的威胁与恐吓。Maoz在当天晚上说担心得想吼,我想在发现禅叔推特被调换并锁定的时候,Maoz一定担心得哭了起来。。
为什么!为什么只是在非常克制的情况下因为写了一些有良知的文字就要被带走?
我只是可能吧一个普通读者,从第一次看可能吧就深受感动。
Discovery channel里那一期关于金囧日的纪录片“北韩领袖的神秘生活” 里有个受访者说道大意是这样的话 “作为曾经身处(金囧日)的人,我觉得有必要把我得所见所闻告诉世人”
阿禅写的有些文字,相信也是因为作为了解某些事情的人觉得有责任把有些东西告诉大家。而即使是这,也不被允许吗?也要被带到派出所吗?
作为可能吧的读者,能读到可能吧的文章我有一种类似于受到恩惠的感觉。不知道有没有人有同感。
阿禅并没有在文章里呼吁什么,也没听说他组织过什么,所以应该完全是因为写这些良心的文字而受到的扣留。而被扣留,更使得之前写过的文字就因此而更显珍贵,因为那是以个人安全和自由换来的。(阿禅现在的情况不允许他告诉大家他受到了哪些限制)
我们可能无法理解在强大的XX机器面前,个人显得多么的无力。绝大多数时候,只有被随意摆布。绝大绝大多数时候。
如果没有阿禅,阿禅们的付出,恐怕现在大家在用着绿坝保护的电脑也无法在此地留言了。我们会不仅仅是离事实真相越来越远。不仅仅是获取自由信息越来越难,越来越少。
我只想在这个时候,表达对阿禅,和阿禅们的感激之情。还有他们的勇气。
[…] 保护好帐号安全 | 可能吧 - […]
老师,只希望你能平安
呃,假如肉体在墙外在墙外再来谈国内一些丑恶现象,有点象站在国外说话不蛋疼的感觉,而且有跟西方某些势力搅和在一起的嫌疑,如果这样,可能吧也很难有如今的政治影响力(假如韩少已身在美国且有绿卡再来讽刺中国社会,大家又会怎么看那些杂文)这是个立场问题;可是肉体还墙内,一些话说多了又容易引起当局的关注,请喝茶又是三天两头的事,过激还可能招到牢狱之灾,为什么当权者不能更开明些呢?这样的围堵只能让那些持中立态度的人们越发的怀疑其手段的目的,那就是掩盖真相。你们挺喜欢说群众的眼睛是雪亮的,但又为什么群众又总是不明真相呢?
[…] 目前的免费翻墙方案 作者:Pstrey 来源:http://pstrey.blogspot.com/2010/06/free-fanqiang.html pic via deviantART 尽管有官方的层层封锁,现在要玩翻墙还不算太难,只是最近两起知名人士的Twitter账户被调包事件实在令人不放心。其中一个被害者Jason Ng也曾提醒我们“使用可信任的翻墙工具”,因此,那些使用具有特殊政治背景的翻墙工具的用户,最好还是谨慎点。 什么是最值得信任的?当然是自己买的SSH、VPN之类,只不过……好吧,我这人比较吝啬,一时还舍不得花钱,另一方面也是因为我找到了一个可以信任的免费翻墙工具——hyk-proxy。 之所以说它值得信任,是因为它是基于Google App Engine的,反正都把邮件等交给Google了,再多一个浏览记录也没什么。也正因为它用的是Google大神的服务器,其速度和稳定性肯定是不用担心的,用来看Youtube也不含糊,估计收费的也不过如此。 另一个基于GAE的翻墙工具GAppProxy也有这些优点,不过hyk-proxy又拥有前者所不能的浏览https的能力;另外官方还宣称XMPP模式可以在GAE被墙的情况下实现翻墙,又是一优势,可惜最近GAE在包括“不存在的那一天”依然坚挺,我也无法测试是否真有那么神奇,只是感觉在速度上似乎没有多大影响。 不过hyk-proxy安装起来比较麻烦,官方的说明也稍微笼统了点,对GAE不熟的话不妨看看攻防日志的教程。另外Java运行起来也不太稳定,不过优点是可以跨平台。 pic via deviantART 说了这么多,hyk-proxy好像比收费的还要好啊?其实也不是,因为GAE本身的限制,使得我们无法用它来上传文件、同时1M以上的文件也下载不了。虽然大多数没感觉,但有些时候还是很不爽。我的解决方法是利用FoxyProxy来同时使用多个翻墙工具。 举个例子,我的主力代理是hyk-proxy,占规则里的绝大多数;而那些需要上传文件的,例如Blogger的模板编辑,则用Tor;理论上这样就行了,但是Tor的速度实在有点……因此,那些涉及到大图的网站我就交给“门”了——当然前提是我不登录这个网站。 我想这是一个比较好的方案了,就免费的来说。 当然这也只是目前的方案,谁也无法确保这些东西能永远用下去,所以寻找其他方法肯定是需要的。例如这个FreeSSH.us,或许哪一天临时有事时会用一下。不过,最好最稳定的方案总归还是自己买一个翻墙帐号。 […]
我就称呼你阿禅吧,自从上了可能吧,我真的学到了很多东西,了解了很多真相,后来我又从twitter上fo你,每天关注你的每一句话,那天你被带走很为你担心,我会永远支持你的,虽然你回来了,但你肯定受到了恐吓,国家某部门不是吃素的,你要保重啊
也许到了某一天,喝茶的人会比请喝茶的人更多。
用无界浏览、自由门好几年了,有什么问题?下一篇请详细说明。
[…] 就在几天前,发生了一起Twitter帐号被调包的事件。 而在这个敏感的日子里,可能吧的作者Jason Ng被带走。随后发现 Jason Ng的twitter帐号@jason5ng32被调包的事件,Jason Ng的帐号被频繁的调换,目前被移到了这个@userhyq的帐号上。很明显,这两起调包事件应当是某些人早有预谋的行为。进行这种攻击行为的人只可用两个字来形容:可耻。 翻墙利器"赛风"(Psiphon)代理新网址:http://fanqiangyakexi.net。被墙网站收集:http://delicious.com/GFWbookmark,请使用GFWlist为标签,帮助我们收集被墙网站的信息。敬请订阅GFW Blog:http://feeds2.feedburner.com/chinagfwblog,邮件订阅:https://groups.google.com/group/gfw-blog。更多翻墙工具介绍和下载: 推客浏览器(http://twitbrowser.net/blog/,墙内镜像:http://tm005.nl.am/),Sesawe(http://www.sesawwe.net/)。翻墙互助小组邮件列表: http://groups.google.com/group/bypassgfw。 […]
嗯,的确需要注意翻墙安全问题,vpn比较有优势
@jason5ng32 归来哟,归来哟~
回来没有?
回来没有?回来没有?
回来没有?回来没有?
回来没有?回来没有?回来没有?
回来没有?回来没有?回来没有?回来没有?
虽然我不相信Jason会做出这样的事,但是我的邮箱公布了没有什么问题,在天朝做什么都要小心,时时都可能发生令人震惊的事情。
哎,那个叫”鄙视“的大*S*B*呢?我等了好久想围观视频呢,youtube哥这里一点都不卡,你穿不上来,可以发给哥啊。哥帮你传!
我应该不会有人偷的,没啥观点