说到网络账户的安全,相信很多小伙伴第一反应就是,我一定要设置一个安全系数比较高的密码。这样的话别人就不容易猜到我的密码,或者说破解我的密码。
强密码安全吗?
但是现在黑客盗用密码的方式实在是太多了,即使我们设置了一个100位字母数字密码,但是假如黑客攻击了网站,窃取了网站数据,这样即使我们设置了非常强的密码,也没有办法保证我们账户的安全。
更何况有的小伙伴会偷懒,在很多个网站平台都使用同样的密码,包括我自己之前也是这么做的,这样如果一个密码泄露,就很容易被关联破解所有的网站服务。
后来我使用的网站服务越来越多,仅仅靠脑子去记密码,肯定是不现实的,所以就订阅了密码管理软件,现在市面上流行着很多密码管理软件,比如1Password,LastPass等,我自己用的是Mac平台上面的Elpass,这些密码管理器都可以很方便的,帮我们生成任意位数,任意字母数字组合的强密码。
这样我们就可以在不同的网站,使用不同的密码,在最大程度上避免了,账户被关联攻破的一个风险。
最近的话我又使用了Fastmail的服务,他们可以生成一种伪装的电子邮件。
有了这个伪装电子邮件的功能之后,我不仅可以做到每一个网站都是都设置不同的密码,我也可以做到,在不同的网站设置不同的邮箱,这样我的每一个网站服务的邮箱和密码都是不同的,被关联破解的风险几乎就没有了。
但仅仅设置密码的话,安全性还是非常脆弱的,如果发生黑客拖库的情况,密码再强也没用的。所以说大部分的网站都会提供两步验证的功能。
两步验证安全吗?
所谓的两步验证就是,我们登陆账户时,除了要输入用户名和密码,还要输入一个验证码。
短信验证码
现在主流的验证码主要有三种,首先第1种就是我们最常用的短信验证。
也就是我们输入账户和密码之后,接下来系统会给我们的预留手机号码,发送一个短信验证码,输入这个短信验证码之后才可以登录成功。国内大部分的网站服务都是采用手机短信验证码的方式。
但是这种验证方式并不安全。我们看新闻经常会有一些电信诈骗,受害人收到了银行的电话或者短信验证码,按照客服的指引操作,然后自己银行账户里的钱就没有了。
其实受害人接到的并不是银行的电话和短信,虽然来电显示的号码和银行号码是一样的,但这其实是骗子通过技术手段,伪装成了银行的电话。一旦你在网银或者手机银行输入了假的验证码,钱可能就没了。
两步验证应用程序
第2种两步验证的方式是,用验证应用程序去生成一个,随时间变化的验证码。这种方式的安全性会高一点,他的验证码一般只在几秒的时间内有效,而且是不断变化的。
但这种方式最大的问题就是,不能抵御中间人攻击,在中间人攻击中,攻击者会在通信的两端之间插入自己的设备,然后开始拦截、篡改和窃取数据。攻击者会利用一个假网站,伪造一个登陆框,要求我们输入两步验证信息。然后攻击者可以使用这些信息,欺骗真正的身份验证服务器,窃取我们的账户。
另外这种方式还有一个大问题就是,数据迁移。
比如我之前换了手机,没有备份Google验证器,结果导致数据丢失,虽然大部分的网站都通过手机验证码登陆成功了,但是Discord却死活一定要验证码,导致Discord账户无法找回使用了。
我现在在使用的两步验证器是Authy,他的一个优势是,数据可以云同步,即使手机坏了丢了换了,我们也可以通过云端找回验证信息。但这又会造成一个问题,万一Authy被黑了呢?
备用登陆代码
另外还有一种验证方式是,备用登录代码,系统会给我们一组,或者几组不同的代码,当我们验证器丢失或者无法使用的时候,就可以使用这组代码来进行登录。
数字资产安全被大部分人忽视了!
这两年,我自己的网络数字资产越来越多,比如说我的YouTube账号有了几万的粉订阅,Twitter也有很多关注了, Telegram有非常多的联系人合作伙伴,一旦说自己的账号被盗的话。后果不堪设想。
如果有人恶意盗取了我的YouTube账户,删除了所有的视频,这些视频是无法恢复的,这也就意味着我这几年的心血都会白费了。另外如果别人用我的账户发布诈骗信息,或者广告,那对我的个人信誉也会造成巨大的影响,这样的事情并不少见,Google随便搜一下,就能找到非常多的账户被盗信息。
目前最安全的验证方式
那么有没有一种更安全的保护我们账户的方式呢?
有!
比如说银行的U盾,即使你知道所有信息,但是在转账的时候,还是要插入U盾,输入U盾密码,才可以操作。
那有没有一种可以在登陆网站时候使用的U盾呢?答案是肯定的。
这就是硬件安全密钥。
实体的安全密钥有很多种,我这次购买使用的是YubiKey。
硬件安全密钥的三种用法
YubiKey主要有三种用法。
无密码登陆
我先给大家演示第一种,无密码登陆。
首先是无密码登陆微软账号,登陆前我们先去到微软账户后台,设置安全密钥。
我们现在到微软的官网去登陆,我们选择下面的一种安全密钥登录。
这个时候的话,我需要做的仅仅是插入我的安全密钥,输入四位PIN,就可以成功登陆账号,不用输入用户名,也不用输入密码,更不用去进行两步验证的操作。
无密码登陆是最理想最方便的一种方式,可惜现在支持的网站还不错,大部分网站还是需要用硬件密钥做二步验证。
两步验证登陆
接下来是第二种用法,YubiKey设置两步验证登陆。
首先是Google。我们先登陆到Google账户,点击安全性,选择两步验证。
选择安全密钥,选择实体。
然后我们在电脑上插入YubiKey,触碰一下中间的小圆圈,就可以添加成功了。
登陆账户时,只需要插入安全密钥,或者利用NFC功能感应一下,即可通过验证登陆账户。
Twitter账户也是一样,可以在账户安全中添加实体安全密钥,这样我们在登陆的时候,选择USB安全密钥,通过验证,就可以登陆成功了。
当然不是说我们每次打开YouTube,打开Twitter都需要验证。
我们只需要在新设备上登录,或者手动操作退出后重新登录,才会要求使用硬件密钥验证。
苹果账户添加硬件密钥两步验证
苹果手机在更新ios16.3之后,我们也可以添加硬件安全密钥了,方法也很简单。
我们只需要到设置,点击账户头像,选择两步验证就可以了。
需要注意的是,苹果手机必须要有两个硬件密钥才可以,如果只有一个,是无法设置成功的。
两步验证应用程序
第三种用法是,作为两步验证应用程序。
我们需要下载YubiKey的APP,打开APP之后什么也没有的,我们点击右上角的添加账户。
然后扫码网站的二维码,点击保存。
然后利用YubiKey的NFC功能感应一下硬件密钥,然后就可以成功绑定两步验证了。
需要注意的是,如果你有两个硬件密钥,要扫描两次网站的二维码,这样才可以两个密钥都添加的。
当我们需要两步验证码的时候,只需要打开YubiKey的APP,然后下拉刷新,扫描硬件密钥,就可以看到两步验证码了。
YubiKey使用体验分享
我自己是买了两个密钥,而且都支持NFC功能,也就是说在使用手机的时候,我只需要把YubiKey在我手机背面轻轻一碰,就可以验证成功,效率比两步验证码快出不少。
安全密钥虽然说很安全,但是他同时也牺牲了一点便利,我们在验证时,手头必须要有这个安全密钥,如果说你丢了,账户就没法再登陆。
所以强烈建议大家至少去买两个,并且把它保管在不同的地方,这样即使遗失了一个,也不影响账户的使用。
实体安全密钥,另一个缺点就是,他的前期投入比较高,比如说我买的这两个的话,海淘加运费加关税基本上要接近,1000人民币。
YubiKey安全密钥,大家可以直接从它的官网去购买,大家可以直接点我跳转。
他是可以直接寄到香港的,到香港之后大家找跑腿帮忙寄到国内就可以了。我是直接寄到美国,然后转运到国内,大概是两个礼拜不到的时间。
如果说大家海淘的时候,没有境外的信用卡,或者说觉得比较麻烦的话,也可以联系我进行团购,大家一起平摊运费和税费。
如果说自己的数字资产不是很多,那么其实使用两步验证的方式也完全足够,但是如果像我这样的自媒体创作者,自己的社交网络账户价值比较大的话,那么使用安全密钥作为一种认证方式,是非常非常有必要的。