@ 2014.07.31 , 22:10
35

你还在用10分钟邮箱注册账号?为什么不把密码直接交给黑客呢?

[-]

一次次网站的数据外泄让人们知道了自己的账户安全和敏感信息有多么容易遭受攻击,密码的保护能力是多么脆弱,有多么低效。

我(原文作者,下同)的网站采用的是二级安全协议和双重认证,但是用户填写的用户信息和电邮账号很容易被破解——意味着个人信息很容易被窃取。

在一般的二级安全协议中,其中一种方法是让用户提供另一个电子邮件地址,99%的情况下网站会验证主邮件地址,如果主邮件地址出现问题,网站会用副邮件地址验证登陆者的身份,方法是通过向你的副邮箱发送一条信息。而这个副邮箱恰恰是攻击者可以攻破的薄弱环节。

一般来说,如果只是验证用邮箱,大多数人都会用“10分钟邮箱”。因为临时邮箱只是用来验证,不是真正发送邮件,安全性都不是很高。所以,黑客可以通过重设这些邮箱的密码攻破你的网站账号,从而破解你更多的邮箱和账号,多米诺效应也就开始了。

无论是双重验证机制还是二级安全问题,实质上都等于把家里的大门钥匙放在门毯之下。多加的一重保护看似安全,实则无用,而且多加的这一重没有起任何作用的保护,给了用户站不住脚的自信心,觉得自己的账户和个人数据很安全。

“使用10分钟邮箱作为第二重验证机制保护个人信息,无异于直接将密码交到黑客手里,”Identiv的CEO Jason Hart表示,“我绝不推荐使用任何此类所谓的匿名账号,这样的验证无法保证你的安全。”

Lancope的首席技术官TK Keanini对用户给出了两点建议:
1. 使用密码管理工具储存和维护所有难记的复杂密码。
2. Keanini建议大家使用错误的信息回答第二重安全问题,比如“你从小到大住的街道叫什么名字?”这个时候不要用真实信息,而用一些荒诞无厘头的答案,比如“狗仔队啦陌生人啊”。

这些都是不错的建议。很多情况下第二重安全问题问到的都是些你的个人信息,而这些信息很大程度上会被你公开在社交网络上。比如你高中学校的吉祥物是什么,或者你长大的城市名字……这些信息都不是非常机密的。由此看来,故意用看似愚蠢的错误信息反而能大大提高第二级安全问题的可靠性,不让黑客有机可乘。

本文译自 Pcworld,由译者 王大发财 基于创作共用协议(BY-NC)发布。


给这篇稿打赏,让译者更有动力
支付宝打赏 [x]
您的大名: 打赏金额:

3.2
赞一个 (22)

TOTAL COMMENTS: 35+1

  1. 2496498

    哎呀,我的煎蛋号怎么办

    [46] XX [1] 回复 [0]
  2. 2496513

    事实证明安全验证问题如果不写大实话就一定会忘记

    [225] XX [3] 回复 [0]
  3. 瓯北
    @3 years ago
    2496515

    像百度云里面的大部分小黄片和高等级的qq,还有什么值得我留恋?

    [33] XX [1] 回复 [0]
  4. 2496518

    多年一直用错误验证答案的路过

  5. 卡卡罗特
    @3 years ago
    2496519

    @瓯北: 黑客,卒
    死因,精尽

    [30] XX [1] 回复 [0]
  6. 被拍死的狐狸
    @3 years ago
    2496526

    = = LastPass的作用体现出来了

    [12] XX [0] 回复 [0]
  7. 血神之翼
    @3 years ago
    2496531

    机密问题:“配偶的姓名”,答案是我自己的名字,因为我的右手也叫这个名字不是嘛。哈哈,哈哈,哈……*抽泣*

    [133] XX [3] 回复 [0]
  8. 2496533

    艾玛。。。果然好盗哇。。。。@hoyt:

  9. GangnamJD
    @3 years ago
    2496557

    密保提示“爱人的名字”,在老婆监督下,输入包括老婆还有几个前女友的名字都提示错误,还好。

  10. OM雷帝嘎嘎
    @3 years ago
    2496574

    额 我依稀记得自己的密码验证问题应该是“你内裤的颜色?“
    答案略 ……………………:) 肯定不能填合乎逻辑的答案是常识吧……

  11. 西奥笑
    @3 years ago
    2496586

    推荐个公开的邮箱yopmail.com
    如果注册账号需要邮箱,而注册的这个账号只会用这么一次,以后又不会再用,也不涉及到自己的隐私,那么可以用这个邮箱。
    好处在于这个邮箱不需要申请。例如在邮箱那里随意输入123@yopmail.com或者test@yopmail.com随意取个名字都行。需要激活时,登录网站输入刚刚那个邮箱就可以进去了。之所以说这个是公开的就是因为这个不需要密码就可以登陆。
    不要把这个当作安全邮箱,因为谁都可以登录!
    这个东西的唯一用处就是用来当垃圾邮箱接收垃圾邮件。

    [13] XX [5] 回复 [0]
  12. 羽蛇神的回归
    @3 years ago
    2496595

    算了还是用智能卡验证好了

  13. Potato
    @3 years ago
    2496607

    你还在用10秒钟表情假装纯洁吗?为什么不把节操直接交给煎蛋呢?

  14. 2496609

    用的十分钟邮箱注册的,都不会是什么常用的网站吧……我一般也就注册下资源,然后就没然后。我现在这贴也是十分钟邮箱发的

    [12] XX [1] 回复 [0]
  15. 魔法师老欧
    @3 years ago
    2496652

    各大论坛账号密码统一而且简单…

  16. 2496695

    我也觉得很麻烦,要密码做什么

  17. 当年的处男
    @3 years ago
    2496705

    某些网站的密码找回机制太过傻瓜式,例如密码找回问题,有些网站只提供特定的几个问题让你选择,很多时候这些问题都不是我们熟悉或者想要的,而且这些问题几乎每个网站都一样,这样就导致黑客破解密码的难度大大降低。

  18. 2496707

    @: 煎蛋评论不用注册

  19. 2496754

    唔,用蠢问题也难免会碰到一个蠢黑客和你心有灵犀啊……

  20. 临时帐号
    @3 years ago
    2496757

    = =用临时邮箱注册的帐号也不是啥重要的帐号 偷就偷吧 密码都是123 456 789

  21. 梦游的肥皂泡
    @3 years ago
    2496764

    每隔几天,我的煎蛋号都会变为根本不认识的昵称和邮箱,这是黑客的主意吗

  22. 吃西瓜的老衲
    @3 years ago
    2496782

    难怪….

  23. 客卿
    @3 years ago
    2496788

    这么做的后果就是你实在想不起当初用的啥。。。

  24. 2496792

    我想给他!怎么给啊?他要不要呢?

  25. 2496803

    反正这些邮箱都是用来注册即使被盗也无所谓的帐号的 ╮(╯_╰)╭

  26. 2496867

    我还希望被盗,第一,注意你帐号下的内容没什么大不了,第二,任由黑客(或者别人)操作可以搞乱你的个人信息让网站无法监控。如果你有这样的帐号,不如把帐号密码直接交出来,哥哥我帮你放一些图片

  27. 2496927

    到现在偶还未知道我QQ的二级密码的答案。。。

  28. 2497078

    密码是键盘时代的产物,现在指纹识别、声音识别技术都很成熟了,密码早该淘汰了。

  29. 2497403

    有时候写了大实话也会忘记 比如
    abc ABC Abc

  30. leeper
    @3 years ago
    2497421

    我的密码验证问题统统都是 盗号的死全家 这样好记又猜不到
    等等,我好像说错了什么

  31. pudding卡迷
    @3 years ago
    2497533

    问题是好多年前开始上网的时候还没有这么重视隐私,也想不到网络速度发展如此之快,那时候只用一个邮箱。现在大面积更换太费劲了,其实谁不想自己的网络更安全呢?我说的这个问题我觉得是大部分人都会面对的,我在08年的时候大改过一次注册邮箱,太费劲了,噩梦。

  32. はし
    @3 years ago
    2497734

    网上所有账号密码几乎是相同的要偷就偷吧
    若是黑客有意去偷,貌似对他们来说不是一件难事
    我还感觉麻烦呢,申请一堆东西什么的

  33. 爸爸
    @2 years ago
    2887532

    傻,能用十分钟邮箱去注册帐号,那这个帐号的重要性肯定是极低的,有什么意义?

  34. 3061491

    本来十分钟临时邮箱就是临时用一下的, 你还想怎么着的呀~
    再推荐一个简洁实用的, http://10minutesemail.eecjimmy.com/

  35. 3333405

    每天不斷更新 天天有驚喜 絕對是您最佳的選擇
    服務地區:大台北→台中→高雄→新竹→南投→彰化→桃園
    現金交易:見美眉本人滿意在消費.可換.不轉帳.免匯款.免買點數.安全可靠
    開啟你的 Line(ID) :

    kype :yuqing55520

发表评论


24H最赞