【转载】关于账号密码管理问题

【转载】关于账号密码管理问题


转载自 https://acg.is/d/4063

引言

相信能读到本文的读者都在不同公司的网站、游戏、应用等地方注册过很多账号,或多或少也因为账号密码问题遇到过麻烦。

具有几年网龄的网民,注册过的账号不上百也至少有好几十个。
现在常用的账号包括:谷歌、微软、微博、QQ、微信、百度、支付宝(阿里系)。
不常用的包括:网上银行、招聘网站、盛大、网易、搜狐等,还包括为一些其他游戏、应用、小网站专门注册的账号。

注册账号时候通常需要填写:手机号、证件号、邮箱、住址、年龄生日、性别、职业、学历等等,涉及金融问题的账号通常还要求实名认证。
当你向一个网站注册一个账号,意味着所属公司就能获取到你所填写的所有信息(甚至更多)。拿到这些信息,这些公司可以做定向广告、社交推荐等,甚至通过大数据可以把你不同地方填写(泄露)的隐私信息关联起来。

问题

骚扰广告

通常是你所注册公司为相关应用推出的广告,某些可能是你所相关心的,也有可能有你不想收到的。这类广告大多支持退订。

还有一种就是被手机和邮件等信息被倒卖给第三方,由第三方推送的广告。这也是你会莫名奇妙收到那些未曾关注和注册过的公司给你推送的广告,这类广告通常不关心的、无用的、甚至有害的、不能退订的。不良的公司甚至可能把你的退订请求当作这是一个活跃账号的标志,或许会推送更多广告。

撞库

通常由于在不同公司注册了相同或者相似账户(通过用户名、邮箱、手机号、证件号关联起来)。攻击者从某个公司获取到账户信息后,将相关信息应用(关联)到其他个公司的账户上,特别是某些明文存储密码、或者不加盐哈希存储密码,可能直接导致相关账户全部被盗。

账号被回收

比如你因为工作变动,变换了手机号,旧的手机号被回收后,其新主人就利用该手机号可能获取你一些未取消关联的账号信息,大部分账号都可以用手机号获取全部权限(你查看相关找回密码页面就知道)。

很多网站都要求填写邮箱和 qq,以前就为其注册了一个不实际使用的僵尸 qq 账号,主要使用其 qq 邮箱,后来发现只使用邮箱不登录 qq,账号被回收了,一应关联账号全灭(原因和上面手机号类似)。

经验

1. 在不同地方使用不同账户密码,特别是不同公司的账号,

关联的账号越多,一旦出现隐私泄露,危害范围就越广,想要停用就越麻烦。

2. 分清主次,重要的账号尽量启用两步验证

越是重要的账号,安全级别应该越高,特别是金钱和常用账号相关的。

3. 不要在小公司账号里面填写任何真实隐私信息,尽可能伪造

小公司更需要赚钱、更容易倒闭、也更不在乎名声,总之小公司可能很轻易的就把你的隐私信息倒卖了,维权也更困难。

也包含一些不具持久性的账号,比如上面提到的僵尸 qq 号被回收问题。

4. 活用 OAUTH(开放授权),随时回收不常使用的一些授权

很多大公司的账号都提供 OAuth 功能,尽可能使用它们去维护一些不常有的应用、游戏、论坛等账号,一旦不使用了就直接回收权限,授权时候注意权限范围,如果其要求多余权限,及时禁止。

5. 慎用密码记录软件

账号多了,密码多了,特别是针对些小网站专门注册的账号,一段时间不使用估计连账号都想不起来,更不要是复杂的密码。
这个时候就需要由密码管理软件来做了,我最常用的是 Chrome。Chrome 的密码记录和自动填写表单功能确实很方便,帮我省了很多麻烦,我也通过它找回了很多密码。

谷歌为 Chrome 记录的密码本身提供了很多安全保障,基本不需要担心会被远程窃取。但是如果攻击者能获取到你使用的设备本身就不一样了。Chrome 记录的密码是有两种方式可以直接查看的:

  1. Chrome 设置/管理密码/鼠标指向密码的星号/显示/输入 Windows 密码;
  2. 进入某账号的登录页后,Chrome 会自动填充已经记录的密码,这个时候 右击 密码输入框,点击 检查 进入源码查看页,将密码输入框 <input type="password"> 的类型由 password 改为 text (<input type="text">),输入框中的密码就会被显示成明文了。 这个方法对绝大多数浏览器都适用

所以,重要的账号,特别是金钱和常用账号相关的,最好 不要 记住密码。

6. 手机号问题

现在手机号实名制了。一些乱七八糟的网站也打起了手机号码的注意,动不动就要求你验证手机号,然后通过手机推送垃圾信息,这个问题我没什么实用的方法,只能尽量不去涉足这类型的东西。手机号关联东西多了,想要换起来也没那么轻松,上面也提到过类似的问题。可能的解决方案就是养个备用手机号,最好是国外的。

总结

  1. 只把大公司的账号(推荐微软 outlook,谷歌 gmail)当主账号。
  2. 注册额外的大公司的账号(推荐微软 outlook,谷歌 gmail)当僵尸账号(也可以使用主账号的别名)。
  3. 微软 outlook 可以使用 10 个别名(相当于 10 个账号),别名管理起来比 10 个分离账号方便多了。qq 邮箱也可以多个别名,经过上面的僵尸 qq 回收问题,对腾讯严重不放心,慎用。gmail 的别名 ( [email protected])可以看出主账号 ([email protected]),还是另外注册的好。推荐了三遍
  4. 对小公司的账号使用主账号的 OAuth,或者专门注册小账户。尽可能不要关联真实隐私信息,如需邮箱地址等信息,填写备用僵尸账号。尽量不去涉足需要手机验证的小网站。
点赞