当前位置:
文章详情

聊聊安全那些事儿 篇二:启用两步验证,守护信息安全

2016-05-25 08:18:52 42点赞 220收藏 49评论


【前言】 现如今,账号安全已经等同于隐私安全

上篇主要介绍了Wi-Fi安全,这次来谈谈账密的安全问题吧。账密的安全其实是牵一发而动全身的,毕竟现在很多个人的信息都是蕴含在邮箱,账号和手机中的,因此账密安全可视同隐私安全。

启用两步验证,守护信息安全

举个例子,就算是SMZDM的账密,其中也已经包含了不少个人隐私信息,例如个人的姓名、住址,手机号(不完整,其中已经加了4位*号),那就更不要说私人邮箱,QQ或微信,甚至Apple ID中包含的隐私信息了。


【第一节】 密码再长也有风险,关于拖库

所谓账密,就是账号和密码。对于一些网站来说,昵称就是账号,这样一来,安全性自然比昵称账号不统一的网站的安全性上来就差了那么一截。

接着,来看密码。你可能觉得密码包含数字,大小写字母,外加符号就很安全了。

那我只能送你一句话:“Too Young, Too Naive !”

下面这个密码够厉害了吧:

ppnn13%dkstFeb.1st

有数字,有字母,字母还分大小写,还有符号。然而并没有卵用。

这组密码其实很有来头,就是前几年知名的CSDN泄密门中被网友称为“最有诗意的密码”,为什么这么说?其实这组密码来自于唐朝著名诗人杜牧的《赠别》中的诗句“娉娉袅袅十三余,豆蔻梢头二月初。”

拖库,简单来说就是黑客利用网站的漏洞,把数据库中的敏感信息窃取出来。关于拖库其实也能展开不少,比如利用那些漏洞,拿到的MD5加密的密码怎么解密等等。不过这篇文章的主题是教大家怎么防守的,关于怎么进攻的,笔者就不做详细展开了。

你可以保证自己的密码足够长足够强,但是密码总是存在网站的数据库中的,你无法保证每个你输过密码的网站的安全性都是那么给力。其实,近几年不少门户都被拖过库,包括那个传说中的XX万CHECK IN记录。启用两步验证,守护信息安全


【第二节】 RSA泄密事件,彰显“两步验证”的重要性

那么,有没有什么防守的方法和策略呢?答案当然是肯定的。

首先是一些技术上的小TRICK,比如每个论坛给予不同的密码,当然这对于自己背诵密码有一定难度。或者密码就是某个固定组和外加论坛名称的缩写,这只能算是权宜之计吧,毕竟有可能被黑客反推出来。

比较彻底的解决方法就是本文的标题了:两步验证。

启用两步验证,守护信息安全

两步验证严格来说其实应该叫做“二元认证”,英语是Two-factor authentication。就是由两个因子来做验证的判断。而传统的密码验证就属于一元认证。当然,还有更多元的验证,例如三元认证,除了密码和PIN,再加入指纹等因子,但这对于个人用户来说基本没有必要。

下面这张图很好地解释了“二元认证”的原理,密码属于“你知道的内容”,而验证器中闪现的6位PIN码属于“你有的内容”。两者结合,才能开启神奇的宝箱。启用两步验证,守护信息安全

启用两步验证,守护信息安全

二次验证有多重要呢?这么说吧,现在所有国外大企业的信息安全,基本都是基于这个原理的。举个例子,2011年上半年,发生了安全业内知名的RSA泄密事件。RSA隶属于EMC公司(EMC去年已经被DELL收购),其名称其实就是一种算法,来自于三位创始人的名字。这三位大牛都是泰斗级的密码学家,比如最左边的这位Ronald就在MIT做教授,他们在2002年拿到了图林奖(计算机界的诺贝尔)。

启用两步验证,守护信息安全

RSA算法本身是非常安全的。关于RSA算法的详细,大家自行查看维基百科吧:https://en.wikipedia.org/wiki/RSA_(cryptosystem) 这里讲得还是不够细,真要弄明白还是要看书。简单来说就是大素数的拆分,用现在最快的超算来算那6位数,也要几千年的时间,但是那6位数每隔1分钟就变化一下,所以想要正面突破,目前基本是不可能的,因而很安全。

500强外企中绝大多数也都采用RSA公司的安全方案,具体到产品上来说,就是一个名叫SecurID的设备。目前国内中国银行的优盾,也是基于这个系统的。

启用两步验证,守护信息安全

整个攻击的过程基本上应验了那句话:“最坚固的堡垒,往往都是从内部攻破的。”事情的具体发展是酱紫的:RSA的一名员工从垃圾邮箱文件夹收取了一封鱼叉式网络钓鱼的电子邮件,随后打开了里面含有的一个受感染的附件:结果,这起泄密事件背后的黑客潜入到了RSA网络内部很深的地方,找到了含有与RSA的SecurID认证令牌有关的敏感信息的数据库。虽然RSA从来没有证实到底丢失了什么信息,但是传出的消息称,一家使用SecurID的美国国防承包商遭到了黑客攻击,这证实了这个传闻:RSA攻击者已获得了至关重要的SecurID种子 (SecurID seed)。

关于此次攻击的传说众说纷纭,有传言说那个黑客研究了RSA的员工很久,发现他很喜欢猫咪,所以故意用带有恶意代码的猫咪图片引诱RSA员工打开。真假未知。启用两步验证,守护信息安全

启用两步验证,守护信息安全

由于涉及国家安全,因此厂商公布的信息非常有限。但是紧接着的第二个月,笔者所在的公司的IT工程师们就忙惨了:公司所有的SecurID Token全部更换。有的同事之前刚刚更换了Token还不到一个月,又被再次要求更换,至于理由嘛,就是这次泄密事件。

由此可见,两步验证早已成为大企业信息安全的标配了。其对于密码安全的保护,具有非常重要的助益。


【第三节】 不开启两步验证功能的典型风险举例

启用两步验证,守护信息安全

如果不开启两步验证,其实还是存在一定风险的。因为在这种情况下,密码就是你账号安全的唯一依靠。

苹果手机为例吧,其实苹果的安全机制,还是有比较大的风险的。但是毕竟开启两步验证还是会增加操作的复杂度,因此苹果不可能要求每个用户都这样操作。

如果一个用户使用iPhone,并且开启了备份功能(系统默认开启),一旦账号密码被突破,那你的个人地址,电话,通讯录,备忘录,邮件,短信,通话记录,甚至包括同步到云端的照片,都会暴露在黑客面前。

那么黑客一般是怎样拿到密码的呢?方法是多种多样的,前面提到过的社工库是一种方法。其他的,也有利用社会工程学的方法直接当面硬肛的。以Apple ID为例,要突破密码只需要知道对方的账号,生日,和两个验证问题的答案(共有三个验证问题,随机选取其中两个显示,通过刷新页面可以切换)。所以,如果你有Apple ID,并且没有开启两步验证的话,那么别人距离你的密码其实也就只有一个生日外加两个问答的距离!突破这一层之后,他能干什么呢?可以重置你的密码,窃取你同步到云端的隐私信息,包含通讯录,照片,邮件,短信,通话记录等等。这都不是事儿,黑客甚至还能更改你的ID信息,让你再也无法找回这个Apple ID。


【第四节】 如何开启二次验证

以苹果的设备为例,要开启两步验证还是很简单的,网上也有不少教程:

启用两步验证,守护信息安全

两步验证开启后的好处是显而易见的,举个不太恰当的例子,这就好比在Wi-Fi网络中开启了MAC白名单过滤。

都是多引入了一个因子(factor),从而使得其中一个因子显得不再那么重要了。比如在Wi-Fi网络中,由于不当使用一些Wi-Fi密码分享软件,使得自己家里的无线网络的密码暴露了,但是由于开启了MAC地址过滤,其他用户即使知道密码,也无法连入网络。对于两步验证同样是如此,原本完全是依靠密码的,密码一旦失守,就全线溃败。而现在即使密码通过某些途径被别人知道了,但是那个验证器里的6位PIN码还在我手里,可以做到心中不慌。说通俗点,就是原来是一道城墙,被攻破就失守了。现在又加了一道城墙,而且这道城墙还千变万化,难以捉摸的。


【第五节】 各大网站关于账密的安全策略

启用两步验证,守护信息安全

这一节来看看各大网站的安全策略吧。主要可以分为几个不同流派和级别:

1.GMAIL,HOTMAIL

全站HTTPS化,都很早开始支持两步验证,安全措施比较到位。Google甚至还推出了一个验证器APP。个人认为Gmail或Hotmail非常适合作为主力的安全邮箱。考虑到网络的原因,目前微软的Hotmail显然更合适一些。

2.阿里,网易,新浪

国内厂商也在做这方面的工作,比如新浪的叫做微盾,网易的叫做将军令,阿里的叫做钱盾。整体这三家里面,阿里的安全性最好,全站HTTPS化。至于网易和新浪嘛,呵呵呵...

3.QQ,微信

微信是通过卡登陆设备来实现安全管控的策略。而QQ则已经支持类似两步验证的客户端验证。最近企鹅的邮箱也实现了HTTPS化,整体的安全性在稳步提升中。没办法,鹅厂就是有钱啊,再说微信涉及到支付,不做安全点行吗?

4.SMZDM,京东

这方面京东和张大妈都有点落后了。基本采用两套密码的机制。就是一个登陆密码,一个支付密码。也算引入一个因子,但是这个因子是静态的。如果两组密码都被攻破,那就直接嗝屁了。期待张大妈可以早日加强啊。


【第六节】 养成良好的安全习惯,贯彻严谨的防守策略

启用两步验证,守护信息安全

好了,说了那么多,来和大家分享一些笔者自己的一些安全策略吧。

首先,能开二次验证的网站,都去打开。下图就是笔者安装的Google身份验证器,每分钟会生成一个新的6位PIN码:

启用两步验证,守护信息安全

如果用的是苹果手机,不要开启资料云端备份,最多开个查找我的iPhone足矣。至于安卓手机,劝大家就不要开启什么云端相册了:

启用两步验证,守护信息安全

那么,开启了二次验证,是不是就一劳永逸了呢?答案当然是否定的。

目前各大网站的这套二次验证的机制,说到底还是基于手机的。也就是说,手机是其中非常重要的一环。二次验证的设备,如果没电了或没带的话其实也没关系,直接发一个验证码到手机还是能够通过验证登陆的。

所以手机的安全就变成这个闭环里的重中之重了:保持系统最新,不要root或越狱,不要随便给别人使用。开启必要的应用锁,如支付宝和微信支付的。另外,手机的锁屏密码也不要采用简单的数字或图案。Android和iPhone锁屏密码都是支持复杂密码的,而不单单6位数字或图案:

启用两步验证,守护信息安全

可以选取一些好记的但是带符号字母数字的密码,比如:Pi3.1415,或者是E[空格]2.7818,这样的密码比纯数字密码要强得多啊。

聊聊安全那些事儿 篇一:Wi-Fi安全浅析前言近期,Wi-Fi相关的安全话题充斥着电视新闻的大屏幕,先是曝出了路由器劫持的消息,而后又有报道提到黑客可以控制在同一个Wi-Fi下的其他电脑,所以公共Wi-Fi并不安全。紧接着是家用监控摄像头被劫持,用户的大量隐私被曝光。这些报道的话题五花八门,而节目中给出的防范措施也较为杂乱,缺乏条理与说明。lanwellon| 141 评论63 收藏705查看详情


上一篇Wi-Fi安全中提到过,对于没有全站HTTPS化的产品,如新浪微博,即使开启了微盾的登陆验证,在Wi-Fi下还是能够实现劫持的,所以安防的道路真是任重而道远啊。

启用两步验证,守护信息安全

以上只是简单介绍了一下账密安全的一些小TIPS,其实安全更重要的是形成良好的安全意识,养成良好的安全习惯。希望大家都能考虑开启两步验证的功能,提升信息安全的等级。启用两步验证,守护信息安全

展开 收起

泰光银楼银茶壶999足银茶具放下银茶杯实用银镀金防烫公道杯烧水壶 一壶4杯 银重约280克

泰光银楼银茶壶999足银茶具放下银茶杯实用银镀金防烫公道杯烧水壶 一壶4杯 银重约280克

4620元起

领丰金 黄金投资金条 30g SGJTiao

领丰金 黄金投资金条 30g SGJTiao

15366元起

领丰金 LING FENG GOLD)足金9999黄金投资金条周年庆投资理财金条刻字送人 20g

领丰金 LING FENG GOLD)足金9999黄金投资金条周年庆投资理财金条刻字送人 20g

10284元起

六福珠宝足金榴莲黄金摆件收藏 计价 F65TBGA0002 80.84克(含工费5174元)

六福珠宝足金榴莲黄金摆件收藏 计价 F65TBGA0002 80.84克(含工费5174元)

53260.48元起

中国黄金投资银条 约20g

中国黄金投资银条 约20g

189元起

中国黄金AU99999龙年大吉金条 2024年 100g

中国黄金AU99999龙年大吉金条 2024年 100g

63500元起

六福珠宝 【三八节】足金聚财如意扇黄金金章摆件挂件 定价 013297JA 金重约0.10克

六福珠宝 【三八节】足金聚财如意扇黄金金章摆件挂件 定价 013297JA 金重约0.10克

226.1元起

周六福黄金投资金条储值收藏我们的金砖计价A1212671 约1g 新年

周六福黄金投资金条储值收藏我们的金砖计价A1212671 约1g 新年

569元起

领丰金 LING FENG GOLD)足金9999黄金投资金条攒零钱收藏 2g

领丰金 LING FENG GOLD)足金9999黄金投资金条攒零钱收藏 2g

1042.4元起

ZLF) 黄金足金999快乐金条投资金收藏送小孩 计价 1g

ZLF) 黄金足金999快乐金条投资金收藏送小孩 计价 1g

568.8元起

新金珠宝 Au9999传世金投资金条 黄金金砖 馈赠保值收藏 支持回购 1克(绒布袋包装)

新金珠宝 Au9999传世金投资金条 黄金金砖 馈赠保值收藏 支持回购 1克(绒布袋包装)

暂无报价

CHOW TAI SENG 周大生

CHOW TAI SENG 周大生

暂无报价

泰光银楼银茶壶999足银茶具南瓜银茶杯实用银镀金防烫公道杯烧水壶 单个茶杯 银重约45克

泰光银楼银茶壶999足银茶具南瓜银茶杯实用银镀金防烫公道杯烧水壶 单个茶杯 银重约45克

759.5元起

泰光银楼银茶壶999足银茶具实用泡茶杯鱼跃龙门瓷包银茶杯 一壶3杯套装银重约209克

泰光银楼银茶壶999足银茶具实用泡茶杯鱼跃龙门瓷包银茶杯 一壶3杯套装银重约209克

2520元起

泰光银楼银茶壶999足银茶具放下银茶杯实用银镀金防烫公道杯烧水壶 单个茶壶 银重约160克

泰光银楼银茶壶999足银茶具放下银茶杯实用银镀金防烫公道杯烧水壶 单个茶壶 银重约160克

2730元起

中鑫珠宝 中式婚嫁黄金凤钗凤冠女999足金凤凰头饰嫁妆结婚金首饰 凤冠110克(多退少补)

中鑫珠宝 中式婚嫁黄金凤钗凤冠女999足金凤凰头饰嫁妆结婚金首饰 凤冠110克(多退少补)

68230元起
49评论

  • 精彩
  • 最新
  • 现在就是抱着“自己的所有信息都已经是公开的”这样的觉悟在上网的

    校验提示文案

    提交
  • 网易的东西安全应该是有问题。

    校验提示文案

    提交
  • 不开启云端备份……这不是因噎废食么 [皱眉]

    校验提示文案

    提交
    我也觉得是

    校验提示文案

    提交
    收起所有回复
  • 两步验证 和 二次验证,至少在方法上,两者并不一样!

    校验提示文案

    提交
  • 身边时不时有人丢手机,并且都没开启同步相册之类的,说不安全,又特别很多是大存储,动辄几十G的相片和大量日记备忘录,联系人!丢部手机好像丢了回忆一样,要安全还是要回忆,自己掂量

    校验提示文案

    提交
  • 居然没有提到密码保存软件,这也是很重要的一环。
    各大网站使用不同的用户名和密码相当的重要。你说太难记?
    1password 和 lastpass 这两款软件就凸显出重要性了。

    校验提示文案

    提交
    用密码保存软件和本文讨论安全性是冲突的,密码软件本身是绝对的安全?被端了的话那你的密码不是都泄露了?

    校验提示文案

    提交
    同意。。。从不用。。。从业者的角度来看,方便性和安全性在一定程度上永远是矛盾的,你方便了,别人也方便了 [相爱相杀]

    校验提示文案

    提交
    还有3条回复
    收起所有回复
  • 虽然我不是搞IT的,但是我觉得LZ的建议在这个信息泛滥的时代还是很实用的

    校验提示文案

    提交
  • 重要的帐户也可以定期更换密码,当然多了一道验证,还是非常实用、安全的,但带个密码器进行加密就非常不便了,仅限于资金帐户。

    校验提示文案

    提交
  • 好文,也曾各大论坛都设独立密码,然而自己的大脑是386,内存不够,密码忘了只能重新注册

    校验提示文案

    提交
  • 还有密码: 1dcypsz1/2jss1/2j#f00
    解释:一道残阳铺水中,半江瑟瑟半江红

    密码:ps!see(5tl)shit!say(man)
    解释:平生不看武腾兰,便称男人也枉然

    校验提示文案

    提交
    屌…………!

    校验提示文案

    提交
    收起所有回复
  • 我想知道这是不是就是各种“盾”,像以前玩魔兽时间也是用的这种?另外听以前的同学说,他们用这种盾还是能被盗号,真的吗?

    校验提示文案

    提交
  • 用了一段时间authy.后来怕手机丢了就解绑了.

    校验提示文案

    提交
  • 现在又多了一个双重认证,这个比两步认证更好吗?

    校验提示文案

    提交
    是啊,同问。不过,我觉得还是两步验证安全点,双重验证是发验证码到设备的,可如果设备丢失了呢?

    校验提示文案

    提交
    我弄过双重验证了,苹果客服不咋地,啥都不知道,就会说我们的系统是非常严谨安全的,最后一步还是我自己弄懂的,双重验证整完后,系统还会要求你输入锁屏密码,才结束,不然后台会一直有个提醒。我感觉这个双重验证就是为了防止有人远程盗取自己的

    校验提示文案

    提交
    还有1条回复
    收起所有回复
  • LZ是安全工程师吧?很厉害👍

    校验提示文案

    提交
  • 邮箱如何二次验证? [吐血] [吐血] [吐血] [吐血]

    校验提示文案

    提交
  • 被钓鱼的员工喜欢猫咪不是“我是谁:没有绝对安全的系统”电影里面的梗么

    校验提示文案

    提交
  • steam不就有嘛??????

    校验提示文案

    提交
  • 封面图记得好像是中行的老KEY

    校验提示文案

    提交
  • 我就想知道有什么适合个人用的key

    校验提示文案

    提交
    以前原创频道有晒过,美亚卖的USB的东西,用的时候插电脑上进行验证,关键字忘了。。。。

    校验提示文案

    提交
    我看过50刀,感觉局限较高在国内

    校验提示文案

    提交
    收起所有回复
  • 各个银行一堆U盾U盘。 [内伤] 再各个网站。。。 [喷血] [吐血倒地]

    校验提示文案

    提交
提示信息

取消
确认
评论举报

相关好价推荐
查看更多好价

相关文章推荐

更多精彩文章
更多精彩文章
天猫超级红包
距结束::
早春焕新必领红包,最高8888元
红包按钮
最新文章 热门文章
220
扫一下,分享更方便,购买更轻松