@ 2014.07.31 , 22:10

你还在用10分钟邮箱注册账号?为什么不把密码直接交给黑客呢?

[-]

一次次网站的数据外泄让人们知道了自己的账户安全和敏感信息有多么容易遭受攻击,密码的保护能力是多么脆弱,有多么低效。

我(原文作者,下同)的网站采用的是二级安全协议和双重认证,但是用户填写的用户信息和电邮账号很容易被破解——意味着个人信息很容易被窃取。

在一般的二级安全协议中,其中一种方法是让用户提供另一个电子邮件地址,99%的情况下网站会验证主邮件地址,如果主邮件地址出现问题,网站会用副邮件地址验证登陆者的身份,方法是通过向你的副邮箱发送一条信息。而这个副邮箱恰恰是攻击者可以攻破的薄弱环节。

一般来说,如果只是验证用邮箱,大多数人都会用“10分钟邮箱”。因为临时邮箱只是用来验证,不是真正发送邮件,安全性都不是很高。所以,黑客可以通过重设这些邮箱的密码攻破你的网站账号,从而破解你更多的邮箱和账号,多米诺效应也就开始了。

无论是双重验证机制还是二级安全问题,实质上都等于把家里的大门钥匙放在门毯之下。多加的一重保护看似安全,实则无用,而且多加的这一重没有起任何作用的保护,给了用户站不住脚的自信心,觉得自己的账户和个人数据很安全。

“使用10分钟邮箱作为第二重验证机制保护个人信息,无异于直接将密码交到黑客手里,”Identiv的CEO Jason Hart表示,“我绝不推荐使用任何此类所谓的匿名账号,这样的验证无法保证你的安全。”

Lancope的首席技术官TK Keanini对用户给出了两点建议:
1. 使用密码管理工具储存和维护所有难记的复杂密码。
2. Keanini建议大家使用错误的信息回答第二重安全问题,比如“你从小到大住的街道叫什么名字?”这个时候不要用真实信息,而用一些荒诞无厘头的答案,比如“狗仔队啦陌生人啊”。

这些都是不错的建议。很多情况下第二重安全问题问到的都是些你的个人信息,而这些信息很大程度上会被你公开在社交网络上。比如你高中学校的吉祥物是什么,或者你长大的城市名字……这些信息都不是非常机密的。由此看来,故意用看似愚蠢的错误信息反而能大大提高第二级安全问题的可靠性,不让黑客有机可乘。

本文译自 Pcworld,由 王大发财 编辑发布。

赞一个 (23)