更新于2019-01-16 22: 50
views

点击量:44

最近(2018年下半年),QQ 盗号非常猖獗。这类盗号发生之后,一般是在受害者加入的 QQ 群中分享一个链接,这个链接也是盗号用的。一般是长这个样子:

盗号1

这个是腾讯文档分享出来的样子,文档里面包含钓鱼链接,黑客通过这个链接获取你 QQ 的账号密码。文档的标题能否吸引人打开链接,是盗号成功与否的关键。这个钓鱼标题多种多样,有的还与时事紧密结合,比如:

fbb

这就十分尴尬了,了解你的人知道你是被盗号了,不了解的就可能误以为这是你的兴趣。不仅财产受损失,对你的名誉也可能产生不良影响。

本文的目的是用一篇文章讲请楚如何保护我们的帐号,避免财产、隐私、名誉受损。我会尽可能地减少文章的理解难度,给出具体可行的办法。

密码篇

静态的字符型密码(与指纹、人脸、动态验证码相对的密码)是验证用户身份(比如,在登录帐号时,你要输入密码来证明你拥有帐号的使用权。)的主要方式,因此保护帐号的最重要的一点就是:保护好我们的密码

为什么要设置安全的密码?

很多人会有这样的想法:我知道我这样设置密码不安全,但我觉得没必要改啊
理由一般是下面这几条:1. 我这个账号里没钱,即使被盗号也没关系。2. 我这个密码用了多年,也没被盗过啊。3. 改密码好麻烦,记忆密码好麻烦,复杂密码输入好麻烦。

针对上面的理由回答一下:

  1. 如果你的几十上百个(一个人注册 50 个左右的账号是非常常见的)账号只用了几个甚至一个密码,只要其中一个账号的密码被攻破,其他账号也就处于危险状态。有的人为了方便记忆,连登录名都全部用一样的,泄露一个就等于泄露全部。
    目前很多网站都提供了用户名(用于登录)和昵称(公开显示)两个名字,这样的做法有利于保护账号安全。但仍然有网站(比如百度),拖了多年也只是部分支持自定义昵称。
  2. 你没发现盗号不意味着你的账号没有被盗过,有可能你这个账号真的没钱,黑客登录账号发现没有赚头就放弃了,也没有更改你的密码。
  3. 你设置的密码越简单,黑客要破解你密码就越轻松。你轻松,TA 也轻松。那些弱密码,你要输入进电脑还要按几下键盘,黑客点一下鼠标就能破解,比你自己都快。
    关于如何记忆密码,下文会讲到。

安全的密码长什么样?

黑客字典

让我来猜猜你的密码吧:
出生年月日(数字),出生年月日与固定字母的组合,电话号码,XXX(人名拼音)520(以及类似变体,比如woaini),@出生年月日.com(及类似变体,比如替换出生年月日、com、@),偶像的名字生日组合,家人的名字生日组合。
怎么样?猜中了吗?

黑客会整理收集“英语”“法语”“德语”等各种语言词典中的单词、常见的密码“123456”“mima”、以及像我猜测各位密码那样的密码公式,把这些整理出来就形成了“字典”,为了便于区分,下文就使用“黑客字典”。有了字典之后,黑客破解密码时会先尝试黑客字典中收录的密码,收录在“黑客字典”中的密码,都是弱密码。

有些自以为聪明的密码其实也被存在了黑客字典中。比如,数字“0”与字母“o”、数字“1”与字母“l”、字母“a”与“@”等类似的互相替换,生成例如:“i1oveyou”“[email protected]”“sunsh1ne”这样的密码。这些密码确实不是字典中的单词,但你能想到的,黑客也能想到。
另外,有人喜欢用“ @内容1.内容2”作为密码,意图模仿邮箱地址,这样的密码巧妙的包括了数字、字母、特殊字符且容易记忆。但是,这种形式的密码被黑客字典收录之后,黑客只需要破解“内容1”和“内容2”就可以了。有些人的“内容1”“内容2”使用的是生日、手机号等个人信息,“内容2”则使用固定的字符串,如“com”,同样是弱密码。

安全的密码长这个样子:

● 越长越好,至少 8 个字符
●同时包含大写字母、小写字母、数字、特殊字符([email protected]!#$%~.等)
● 密码不能是字典中的单词或者有规律可寻

上面这几条可能大家都见过了,但嫌麻烦并没有认真去做。设置安全密码这件事是这样的:你的密码越复杂,黑客为了攻击你的帐号付出的成本就更高。就像法律不能消除犯罪,但能减少犯罪。我们对帐号采取的安全措施是在安全与方便之间做一个平衡。

密码存储方法

1.使用密码管理软件
相比电脑端的密码管理软件,手机 APP 明显更方便,因为手机一般都会随身携带,任何时候需要密码都能找到。使用软件存储密码后,你只需要记住这个软件的密码就行了,APP 一般都支持指纹解锁,所以大部分情况下,动动手指就可以了。
另外,这些软件还有个很实用的功能:生成随机密码。省去了自己去想的麻烦。
我现在用的 APP 叫做“Passport”,下载:https://www.coolapk.com/apk/cn.ifengge.passport。这个 APP 目前是免费的,作者是高中时开发出来的,他现在是 18 级大学生。有一些小 Bug,界面好看。
其他 APP,比如:LastPass、1Password 的介绍,可以看:https://www.ifanr.com/app/571754https://www.ifanr.com/app/700754

2. 维护一个电子文档
比如弄一个带密码的 Word 文档,存在手机里面。

3.使用实体密码本
不方便携带,而且一旦丢失,就全部帐号失守。

当我们使用手机APP存储密码时。如果手机丢失、被盗,也会是一件麻烦事情。我目前能想到的防范方法有两个:
1.给SIM卡设置PIN码。设置之后每次开机都需要输入这个密码,SIM卡才能使用。 如果手机丢失,我们的手机卡也是一并丢失,不能使用的,这时就坏人就不能用短信验证码重置账号密码。
2.使用具有连接断开提醒、查找手机功能的智能穿戴设备(手环、手表)。具体功能就是设备与手机断开连接后,有震动提示;在手环上可以触发寻找手机,手机会以最大音量播放声音(静音状态也会响)。有助于手机丢失后的及时发现,增大找回手机的可能性。另外手机云备份账号的密码一定记牢。

如何保护密码

只是设置了安全的密码还远远不够,因为如果我们自己没有安全的使用习惯,再安全的密码、系统也都没有用。

安全的使用习惯

经常更换密码

不要把密码告诉任何人,包括客服人员、系统管理员,他们不需要你的密码。

所有帐户使用完全不同的密码,如果觉得麻烦,那至少为所有重要账户使用唯一密码,比如:支付密码、网银、Windows 密码、微软账户、手机云备份账户密码(因为手机帐号可以用来锁定手机,读取你的短信、联系人、通话记录、相册等数据)

一定要给重要账号开启二次验证(或二步验证)。现在很多主流的邮箱和账户都提供了二次验证功能,微信则是强制二次验证。二次验证指的是在输入密码之后,你还需要通过其他方式(如身份验证器、手机短信、语音电话等)来确认登录人的身份。

重要的账号绑定手机并开启登录通知,这样会在异地登陆的时候获得提醒。
更安全的是开启登录验证,即所有第一次登录该帐号的设备都要验证(如短信验证码)后才能登录帐号,仅凭密码无法登录。开头提到的被盗 QQ 号如果开启登录验证,黑客就无法登录了。QQ 设备锁开启方法

不要在公共电脑登录敏感账户的密码。因为这些电脑可能已经感染病毒。如果必须登录,建议使用手机“扫码登录”(就是微信、QQ、微博、淘宝那样子的),并且在使用完毕后删除电脑上留下的记录。

建议密保邮箱与联系用邮箱使用不同的帐号,最重要的帐号的邮箱再单独用一个邮箱注册。因为如果所有帐号都绑定同一个邮箱,这个邮箱的密码泄露了就很危险,很多网站重置密码只需要一封邮件。

仔细检查电子邮件发件人、手机显示的电话号码,虽然这些信息可以通过技术手段进行伪造,但不是所有攻击都会进行伪造,检查一下仍然可以识破部分攻击。

关于密码泄露原因的科普,更详细的保护密码安全的方法,可以参考这个:https://sspai.com/post/31659

防范网络钓鱼

请阅读这篇文章:《如何识别钓鱼网站

结语:
做事情要考虑成本与回报,本文提到的帐号保护措施,其花费的成本并不算高。一步到位,保护好我们的帐号,就减少了被盗号的损失,省下为找回被盗帐号付出的成本。


发表评论

电子邮件地址不会被公开。