Pages

Monday, 3 October 2016

如何保护自己的密码安全?

如何保护自己的互联网身份免遭窃取以及如何在计算机丢失或收缴的情况下将损失降到最小......
话说新一届领导人上台了,并且已经将“网络安全”提上日程了,这让互联网上的“河蟹份子们”情何以堪啊..在这种情况下,一旦被抓则可能代表的不仅仅是暂短的失去了自由,更代表彻底失去了网络上的所有东西...
举个例子吧,如Twitter上的@RFITB 因为发布一些不和谐的内容惨遭肉身毁灭,但是其在网络上的信息也一同被灭...其twitter帐号已被“某些人”修改为“@NIDYZZZ”并列入保护模式(即任何人均无法查看其发的内容),并且其发布的“https://docs.google.com/document/d/1dVKJEvRk2meACO4oVRgR5OrvkkoRgTKP8Mysrw8ZNzk/edit?usp=sharing”也已经被删除,这时我们有理由相信第三方已经完全控制其Gmail邮箱,根据邮箱信任的原则恶意人员可能已经完全彻底控制其所有网络身份.....
在不遇到极端情况下(刑讯逼供等),网监是如何获取你的网络身份呢..?
首先目前网络的认证体系如下图.
即网站信任密码,在网站密码忘记的情况下信任邮箱,邮箱信任密码,在邮箱密码忘记的情况下信任手机
那么特权部门(执法部门)能获得你的什么呢?
1.手机号(99%)
2.邮箱(如某些国外没骨气的公司,如微软中国有限公司,雅虎等以及全部中国服务商如腾讯,网易,搜狐,新浪等(100%).....)
3.使用国家级大数据/社会工程学/计算机残留痕迹分析出密码...
根据上图的信任链,我们可以确认,只要第三方获得了你的手机号,就获取了你的98%的帐号访问权限,然后你的网络身份就被连根把起了....对方则可以完全破坏你的网络社交关系并进行挖掘...当你恢复自由重新上网的时候则会发现:“窝槽我的网络关系呢?!” 或者 第三方收缴了你的计算机,你就失去了计算机上的内容 eg社工库等......
那么该如何防止网络身份被冒用/破坏呢?
首先是密码安全:
因为注册的东西很多,所以要在每个地方使用不同的密码...这时我选择使用密码管理服务....
目前所使用的网络密码管理服务为LastPass
那么如何选择一个好密码呢:首先要好记,其次是不容易被猜到而且位数要长...
举个例子:假设我的密码是“I come from Tianchao” 那么可能很容易被人猜到,但是稍微做一下变形
循环250次SHA1("I come from Tianchao") 就不一定有人能猜出来了...
那么如果有人认为40位密码不够长?那么还可以进行base64编码
循环10次base64编码(循环250次SHA1("I come from Tianchao") )的结果估计没几个人能猜到了...
你所需要记住的就是原始密码串+变形方案
将这个密码作为LastPass的主密码即可....
我这里将LastPass作为虚拟身份的地基是因为其所使用的AES对称加密算法,并且我们有证据表明在无解密密钥的情况下任何人均无法在可容忍的时间内完成对该算法的破解......
并且LastPass的工作原理是将加密后的密码下载至本地后在本地完成加解密操作,故此服务器也无法知道你的Master Password...这样就保证了即使LastPass公司作恶也只能将加密后的数据交给执法部门...当然如果你忘记了密码则也代表了丢失了网络上的身份.....
其次是信任链安全:
与网络身份有关的邮箱不绑定手机... 不过有人会问:如果你忘记了密码怎么办?在上一个段落中我们已经说过使用密码管理器,并且生成一个随机的密码供邮箱使用...
这样的话 通过正常途径访问邮箱的唯一通路就是通过密码管理器进行访问,而且密码管理器的密码只能你知道..也就是说在正常途径下 只有你一个人能访问邮箱..
这样即使第三方拿到了你的手机也无法对你的网络身份进行破坏.... 据不可靠消息表明,有80%被大熊猫请去喝茶的人都被使用手机重置密码....因为任何人只要拿到你的手机 就可以重置你的密码.
from http://web.archive.org/web/20160720143807/https://xiaolan.me/how-to-protect-your-online-id.html