双密码为邮箱安全护航
董师傅
@广东 神奇
“董师傅,最近一个月各大网站爆出用户密码被泄露一事,我感到很是紧张哦!有些账户失窃,通过找回密码,发现邮箱被盗了就玩完了啊!”
“是啊,邮箱的安全,可是重中之重啊!让我们听听读者神奇咋说吧。”
相信大家都知道最近一个月各大网站被暴库的风波了,有没有毛骨悚然的感觉呢?其实只要我们做好分类工作就好,我建议邮箱分为两种:主要邮箱和次要邮箱,分别用作申请重要服务和一般服务。
我建议主要邮箱使用Gmail建立,绑定用户的手机,并设置二步验证的手机动态密码。据我所知,目前全球只有Gmail信箱支持手机动态密码,增加手机动态密码之后,黑客即使重置了你的Gmail密码,也没有办法登录该账号的,因为他没有偷走你的手机。动态密码的好处就是,一旦信箱被攻陷,还是有足够的时间通过手机重置密码。还有一点就是,有些用户喜欢使用修改Hosts的方式来访问Gmail,我不建议这么做,因为极有可能对Gmail的安全性产生极大的威胁。
对于经常受到攻击的Gmail用户,强烈推荐使用Gmail的“两步验证”功能,具体方法是登录Gmail后访问https://www.google.com/accounts/SMSAuthConfig,根据屏幕提示安装一个iPhone或Android应用,即可实现动态口令,极大增强Gmail的安全性(图1为iPhone客户端的App)。
小提示 | TIPS
要实现两步验证的功能,智能手机是必不可少的,而且必须是iPhone或者Android手机,那些基于MTK系统的山寨机是不可以的,动态密码对手机要求比较高。
Gmail的“两步验证”支持iPhone和Android手机,实际上属于动态密码的一种类型。动态密码(Dynamic Password)也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。由于每次使用的密码必须由动态令牌来产生,而用户每次使用的密码都不相同,因此黑客很难算出下一次出现的动态密码。
两步验证启用之后,用户具体的使用流程是,在Web端登录Google账户,先输入原有的用户名和密码。然后,系统会提示用户输入通过手机上的动态验证码。
小提示 | TIPS
为了减少输入次数,你可以选择每30天输入一次动态验证码。
对于手机或桌面上的独立应用,例如Gmail移动版、桌面Picasa等,就无法使用动态密码,需要在“两步验证”设置里生成一个随机密码,供应用程序使用,用户在这些独立应用里,登录Google需要使用“两步验证”生成的随机密码(如图2所示)。
用户启用“两步验证”之后,如果觉得过于繁琐,完全可以选择关闭两步验证,关闭方法是:访问Google账户设置下的使用两步验证页面。使用用户名、密码和验证码登录,点击关闭两步验证。系统会显示一个弹出式窗口,以确定用户要关闭两步验证,点击确定即可关闭“两步验证”。
董师傅点评:
看后,我很是心有戚戚焉。很多人觉得动态密码不方便,不愿意使用,这是不对的。方便性固然很重要,但安全性更重要!重视密码的管理,虽然增加了一点点不便,但是你可能将会因此避免极大损失。
除了Gmail邮箱之外,腾讯QQ邮箱也是国内使用较为广泛的邮箱,使用腾讯QQ邮箱时需要注意,一定要设置双密码(邮箱单独密码),如有需要则打开腾讯的QQ手机令牌,QQ手机令牌是腾讯公司的一款QQ安全软件,通过验证30秒动态密码来保护QQ账号、Q币Q点和游戏装备等,不过目前QQ邮箱还不支持手机令牌方式登录。
