用户
 找回密码
 注册

QQ登录

只需一步,快速开始

立即注册,加入爱黑武论坛的大家庭!爱黑武,爱上搞机生活!

您需要 登录 才可以下载或查看,没有帐号?注册

x
谈谈自己的账号密码的安全措施。




认证/验证模式

先看下下面的这张图,大致介绍了 Traditional Authentication (传统认证)、Two-factor Authentication(双因素认证,简称2FA) 、Two-step Verification(两步验证,简称2SV)、Multi-factor authentication(多因素认证,简称MFA)。

understandingAuth_revised.jpg

Traditional Authentication
在网上登陆账户的时候,使用的是用户名+密码的方式。

Two-factor Authentication、Two-step Verification、Multi-factor authentication
在维基百科中,双因素认证与两步验证合并到了Multi-factor authenticatio(多因素认证,简称MFA)中。实际上,这两个还是有所区别的。
维基百科有介绍到,在认证过程中,认证的方式也就是认证因素有三种:
  • 一种是你已经知道的,例如密码或 PIN;
  • 一种是你已经有的,例如手机或特殊的 USB 钥匙;
  • 一种是你与生俱来的,例如指纹或其他特征。 举个例子:当你从ATM取钱时,你实际上就在使用一种形式的两步验证本证。要取钱你需要两个东西:银行卡(你所拥有的)和密码(你所知道的)。 双因素认证(Two-factor Authentication),就是结合了两种不同的认证方式。 一般我们所了解的两步验证,其实都是指Google、Apple、Microsoft所采用的两步验证,就是结合了前两种认证因素的验证方式,也有人称这是双因素认证。 下面这图是Matt Cutts介绍的Google双因素认证方式。
17v9nnjz8cwlijpg.jpg





密码的安全隐患


在上网的时候,通常使用用户名+密码的方式来登陆账户。而且好多人都是使用同样的用户名+同样的密码来登陆不同的网站,这样会有很严重的安全隐患。当然,有的人也会使用不同用户名+不同密码,并且在密码中加入符号、数字、大小写字母、加长密码的长度来提高安全性。
拖库:黑客可以利用网站的漏洞,把数据库中的敏感信息窃取出来。
撞库:黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。
如果碰到上面这些情况,只能要求网站负责人来提高网站的安全性了。
最近几年,很多不法分子瞄准了Apple ID,通过锁定Apple ID,然后向所有者勒索。因为国内用户对Apple ID的不重视,很多用户都会忘记申请时填写的资料,这样就很难通过客服找回的秘密,最后只能支付一定的费用来解锁。






安全防范措施


1、启用两步验证
开启Apple ID双重认证/两步验证
Apple在iOS9 之前就支持两步验证,在iOS9之后新增了双重认证

下面看一下它们的工作原理是什么,内容摘自Apple 官网,具体的开启方式请登陆官网查询。

两步验证的工作原理是什么?
两步验证是 Apple ID 的一种附加安全功能,旨在防止任何人访问或使用您的帐户,即使他们知道密码也是如此。
设置两步验证时,您要注册一部或多部受信任设备。受信任设备由您控制,可以通过短信或“查找我的 iPhone”接收 4 位验证码。您至少需要提供一个支持短信功能的电话号码。
此后,每次登录以管理您的 Apple ID、登录到 iCloud 或通过新设备在 iTunes、iBooks 或 App Store 中购物时,都需要输入密码和 4 位验证码来验证您的身份,如下所示。
verification_code.png

登录后,您便可以安全地访问帐户或照常购物。若没有密码和验证码,您将无法访问帐户。

您还将收到包含 14 个字符的恢复密钥,请将其打印出来并妥善保存。如果您无法访问受信任设备或忘记了密码,可使用恢复密钥来重新获取帐户访问权限。



双重认证的工作原理
借助双重认证,只能通过您信任的设备(如 iPhone、iPad 或 Mac)才能访问您的帐户。首次登录一部新设备时,您需要提供两种信息:您的密码和自动显示在您的受信任设备上的六位验证码。输入验证码后,您即确认您信任这部新设备。例如,如果您有一部 iPhone 并且要在新购的 Mac 上首次登录您的帐户,您将收到提示信息,要求您输入密码和自动显示在您 iPhone 上的验证码。
由于只输入密码不再能够访问您的帐户,因此双重认证显著增强了 Apple ID 以及所有通过 Apple 储存的个人信息的安全性。
登录后,系统将不会再次要求您在该设备上输入验证码,除非您完全注销帐户、抹掉设备数据或出于安全原因而需要更改密码。当您在 Web 上登录时,可以选择信任您的浏览器,这样当您下次从该电脑登录时,系统就不会要求您输入验证码。
apple-id-two-factor-verification-hero.jpg


Google 两步验证
登陆Google 两步验证页面 ,然后点击「开始使用」。
它的工作原理与Apple ID的一样,在输入密码后还需要输入系统短信发送、通过语音电话告知或者身份验证器生成的验证码,之后才能登陆账户。

how-works-img-1.png


2、Authenticator 验证器
介于短信电话也存在被复制截取的安全隐患,并且手机会存在无网络的情况,建议大家还是使用各类Authenticator 软件来获取验证码。
下面介绍几款Authenticator 软件。


  • Google Authenticator

22222.png

应用介绍
Google Authenticator是Google 推出的身份验证器软件,在无网络的情况下也能查看验证码。同时也支持Dropbox、Evernote、Microsoft、Lastpass、Facebook等软件的两步验证。

Collage_Fotor.jpg


应用下载

如何设置
  • 完成短信/语音设置并使用您的手机号码为您的帐户注册两步验证(如果您尚未完成这一步骤)。
  • 通过计算机访问两步验证设置页并点击“Android”。
  • 在移动设备上打开 Google 身份验证器应用。
  • 如果这是您首次使用身份验证器,请选择开始设置。如果要添加新帐户,请从该应用的菜单中选择设置帐户。
  • 要将您的移动设备与您的帐户相关联,请执行以下操作:
    使用 QR 码:选择扫描条形码。如果身份验证器应用在您的移动设备上找不到条形码扫描器应用,则可能会提示您进行下载和安装。如果您要安装条形码扫描器应用来完成设置过程,请选择安装,然后完成安装过程。安装扫描器后,重新打开 Google 身份验证器,然后将摄像头对准计算机屏幕上显示的 QR 码。
    使用密钥:选择输入提供的密钥,然后在“输入帐户名称”框中输入您的 Google 帐户所用的电子邮件地址。接着,在“输入您的密钥”框中输入计算机屏幕上显示的密钥。请务必将该密钥设置为基于时间,然后选择添加。
  • 要测试该应用是否能正常使用,请在计算机上验证码旁边的框中输入移动设备上的验证码,然后点击“验证”。
  • 如果验证码准确无误,则系统会向您显示一条确认消息。点击“保存”即可继续设置过程。如果验证码有误,请尝试在移动设备上生成新的验证码,然后在计算机上输入该验证码。如果您仍遇到问题,则可能需要验证设备上的时间是否正确或参阅常见问题。


  • Lastpass Authenticator
lastpass.png

应用介绍
LastPass Authenticator 是知名的跨平台在线密码管理服务商 LastPass 新推出的二次身份验证应用,同样支持Dropbox、Evernote、Microsoft、Lastpass、Google、Facebook等软件的两步验证,同时能够整合 LastPass,当使用密码时自动弹出两步验证码,非常方便。
官网视频介绍:


应用下载

如何设置
添加账户的操作与Google Authenticator一样。

Collage_Fotor2.jpg



  • Authy
Android的用户很多都喜欢刷机,对于数据的备份都很在意,不管Google Authenticator还是Lastpass Authenticator,都不能通过一般的方式来备份所添加的验证账户信息,如果重新刷机或者更换手机之后,就需要重新添加验证账户,是一件比较麻烦的事情。
而Authy能通过网络备份的,更换手机或手机恢复出厂后,只需登陆账号就可以恢复之前数据,非常方便。并且也支持Dropbox、Evernote、Microsoft、Lastpass、Google、Facebook等。

authy logo.png

软件介绍
Authy 则是一款跨平台的、支持多个设备同时使用的两步验证管理工具,是 Google 身份验证器的有力替代者。Authy 的优点在于,它可以同时管理多个平台的两步验证,同时支持多设备同时使用,也可以快速在设备之间迁移、抹除。

Collage_Fotor3.jpg

视频介绍 :



应用下载

如何设置
首次使用 Authy 时,需要提供手机号和邮箱进行注册,并且需要对手机号进行验证。Authy 提供了短信和电话两种方式。(图1-4)
开始添加两步验证的账号,需要先设置备份密码。(图5)
然后开始添加验证账户,操作方法与上面的软件相同。

Collage_Fotor4.jpg



其他 Authenticator
除了上面三个,还有Microsoft Authenticator功能与设置都类似,不详细介绍。
还有Battle.net Authenticator、Steam Guard、QQ的安全中心、新浪微盾、阿里钱盾。这些都是针对他们自家的账号,无法添加其他验证的账号。




3、密码软件

除了打开两步验证,对于那些不支持两步验证的网站软件,我们只能使用不同的用户名+不同的密码,增加的复杂程度,而且还要经常更换密码来防范。这样做虽然可以较好的防范隐患,但是但是……脑子记不住啊!既然记不住,那我们就借助密码管理软件吧。
密码管理软件是专门用于管理账号密码的安全管理应用软件,帮助用户记忆网页和应用程序登录窗口的账号密码,只需记住软件的主密码+支持账号密码自动填充和一键登录,免除用户记忆众多密码和手工输入账号密码的繁琐。
下面推荐两款密码软件吧,** 如果要使用这些软件,得信任软件公司。如果无法信任,还是不建议使用了。

  • Lastpass
    unnamed.png
    “管理密码的最佳方式。您只需记忆主密码,LastPass 会做其余的记忆工作。”
    官网地址:https://lastpass.com/
    Lastpass提供了个人免费版,个人高级版,企业版三个模式。免费版无法跨移动设备和桌面设备无限同步;高级版每月需支付1美元的费用,可以在所有设备上同步使用。


贴一下自己的邀请链接https://lastpass.com/f?6359266 ,通过该连接成功注册,双方都将免费获得一个月的高级用户资格(最多可累计至两年)!



  • 1Password
    1password.png
    使用iOS与Mac的用户可能会比较了解,最开始支持Mac/iOS,后来也支持了Win、Android。
    2016年4月9日,被苹果公司选出评定为“苹果选出iPhone十佳App”。
    最近,1Password改变了收费模式,之前是每个平台单独收费,现在改变为订阅模式,并增加了自己的云服务。新用户每月须支付2.99美元,在 2016 年 9 月 21 日之前授权还能免费试用6个月,并且全平台都可以使用。







总结

现在信息的发达,上网一不注意就会泄露很多自身的信息,而且还有各种泄露事件。
对于个人信息安全问题,希望大家不要觉得无所谓,要防范安全隐患,只能自己注意平时的使用习惯,提前做好安全防范,使用两步验证,增加密码的复制程度,经常修改密码,不填写敏感的个人信息。
介于我所知道知识都来自网上,如有错误,欢迎指出。也欢迎提出意见建议。












爱黑武,爱上搞机生活!
使用道具 举报 回复
沙发自己的。。

-------------------

如果有更好的方法,请回帖。
爱黑武,爱上搞机生活!
使用道具 举报 回复 支持 反对
太多字了
不看
爱黑武,爱上搞机生活!
使用道具 举报 回复 支持 反对
很多时候就是自己怕麻烦啊

爱黑武,爱上搞机生活!
使用道具 举报 回复 支持 反对
楼上说得对
爱黑武,爱上搞机生活!
使用道具 举报 回复 支持 反对
楼上的楼上说得对
爱黑武,爱上搞机生活!
使用道具 举报 回复 支持 反对
两步验证
就是加上手机验证。
爱黑武,爱上搞机生活!
使用道具 举报 回复 支持 反对
发新帖
 Hello,黑武的好机友!回复想偷个懒?点这里: 
您需要登录后才可以回帖 登录 | 注册
关闭

站长推荐 上一条 /1 下一条