wxzbb: 平民技术,检查你的Google账户安全!

日期: 2009年10月11日 下午3:21
主题: wxzbb: 平民技术,检查你的Google账户安全!

from    GFW Blog <Journalism.Berkeley@gmail.com>
reply-to    gfw-blog@googlegroups.com
to    journalism.berkeley@gmail.com
date    Fri, Jul 31, 2009 at 3:33 AM
subject    [GFW Blog] 平民技术,检查你的Google账户安全! 

来源: WXZBB   来源:谷奥

感谢

 

WXZBB

 

的投递!

2009年7月27日-28日这段时间,Twitter上的朋友开始有人报告自己的Gmail账户中在自己不 知情的情况下做了转发,而转发地址是一个陌生的Gmail邮箱,与此同时,我也检查了我 目前使用频繁的4个Gmail,发现无一例外地全部做了陌生的转发,目前尚不知道转发的邮箱是谁所有,他为什么要侵入邮箱 做这些转发?(

此处建议大家发挥想象,尽量猜……

不过还好,在被设置了陌生转发的这段日子里,邮箱里没有任何敏感邮件或者是隐私邮件,但不得不 让我再次对Google Account的安全性有了重视,目前Google账户所绑定的服务有很多都是具 有隐私性质的,如果不保护好自己的Google账户,密码等内容一旦泄露,将会对Google Account持有者带来不可想象的损 失

想到了一些Google账户的安全性检查方法,写下来和博友、谷粉等一起分享。

一、何谓Google Account?

Google-account-1-650x487

Google Account是你使用所有Google服务的凭证,也 就是你在Google上登记的的账户。同时目前情况下,Google Account账户的密码是所有你所使用的Google服务的密码 (例如Picasa、GMail、Google Groups等等),所以Google Account是一切服务的大前提,它 关联了所有你已经开通的服务,而且,在你无意中可能已经在Google Account的设置中填写了你的各种隐私信息,包括电话、地 址等,所以保护好你的Google Account就显得很重要了。

当然,我不是安全专家,我 的这些安全观点,仅仅来自平常的生活。

二、保护,先从Profile做起

好了,Google Profiles服务为我们提供了一个向他人展示自己的页面,并且可以对不同群组的 人显示不同的内容,可是总是有一些用户(请勿对号入座)忽略了这些权限设置,导致自己的隐私被他人盗 取。例如Wxzbb的Google Profiles地址是

 

http://www.google.com/profiles/heiker3630

 

,这个页面普通用户只能看到我的基本信息(出生地、职业等等),只 有我的Coworkers才能看到我的联系信息,而这些都需要经过一番设置。其实都是一些很简单的操作,几分钟便可以搞定。(这里以 Google英文版为例)

  1. 首先登录Google Prefiles,用你的Google账户登录,登陆进去 后,点击右上角的Edit Profile
  2. 在编辑页面中,点击“Contact Info”标签(如右图,中文版应该是“联系信息”)
  3. 在接下来的设置中,你可以填写自己的电话、地址等等 信息,然后请注意到“Who can see this information on my profile?”这个设置项目,这 个设置决定了你的联系方式能够被那些人看见,而这就是保护你隐私的关键设置,在下面的选框中选中你希望看到自己的 联系方式的群组,也可以点击群组名称旁的“View”链接,增减这个组的成员。
  4. 设置完成后,不要忘记保存,之后,只有你 指定的群组中的人才可以看到你的联系方式,这样,我们的第一步保护就做到位了。

设置可以浏览联系信息的群组

三、Google账户安全-密码是关键

好的密码可以增加破解的难度,但是我只能运用平民知识来告诉别人怎样拥有一个比较安全的密码,

会者请忽略此部分

  • 密码混有大小写
  • 密码包含数字
  • 密码包含特殊符号
  • 密码尽量没有任何意义

这就是我能想到的,当然,如果你有指纹识别器,你可以用密码生成软件生成一段密码,然后由指纹 管理软件替你记忆,登陆Google Account时刷指纹后自动输入密码,由于我是用笔记本,所以我采用后者,效果不错,安全系数高,但是成 本过高

四、用心排查可疑因素

如果你不留心,可能你的Gmail也会像那些朋友一样被做陌生转发,那么,你所有的密码重置邮 件、通知邮件将会被他人一览无余,请你用心检查以下服务的设置:

  • Gmail 设置中的转发以及 Gmail Gadget,任何可疑的转发建议删除,并且尽量不使用不安全的、涉 及账户安全的Gadget
  • Google Profiles中能够查看你的联系信息的联系人,确保这些人你都认识并且信任他们
  • 检查Google Picasa的权限设置,确保你的私密照片没有未经授权便可观看
  • 谨防钓鱼诈 骗等信息,当心密码被盗
  • 留下空来大家补充

五、强制使用256bit安全证书

这一招能够加强所有通过HTTPS协议的网站的安全系数,但是目前只能对Firefox 起作用,如果你愿意使用更加安全的Gmail,相信换一下浏览器也不是什么难事吧?

首先介绍一下这里使用的EV SSL证书,这有别于通常所说的SSL证书(通常的SSL最高只有 128b
it加密,而EV SSL分为128bit 和 256bit)。

Extended Validation SSL Certificate, 简称为: EV SSL 证书,意思是:遵循全球统一的严格身份验证标准颁发的 SSL 证书 。 EV SSL 证书的产生是为了对付日益猖獗的网上欺诈犯罪,意在恢 复并增强人们对网上在线交易的信心。EV SSL 证书是一种新型的需要对申请单位进行非常严格身份验证的SSL证书。如果您的网站部署了EV SSL证书,则用户访问时浏览器的地址栏会变成绿色, 并在地址栏后面显示一个安全锁标志和 轮流显示此网站的单位名称和此证书的颁发机构,明确指出此网站的身份已经此证书颁发机构严格验证。目前 EV SSL证书加密强度有两种:最低128位和最高256位(这 里指的是SSL会话时生成加密密钥的长度,密 钥越长越不容易破解)证书。但即便是128位的加 密强度,使用强行攻击的办法破译密码,也需要10的19次方年。EV SSL 证书是新一代标准的 SSL 证书,意在解决目前各个数字证书颁发机构颁发 SSL 证书采用的身份验证标准不统一的问题,同时让用户能够非常 容易地区分出现有的 SSL 证书和新标准的 SSL 证书,即用户使用 IE7+、Firefox3.0+访问部署了 EV SSL 证书的网站时,地址栏会变成绿色,不仅显示安全锁,还显示单位名称和证书颁发机构的名称。而访问现有的其他类型的 SSL 证书时,则仍然只显示安全锁标志。目前在国内已经有部分网站可以看到绿色地址栏。

Greenbarexample

使用EV SSL证书的站点在IE7中的地址栏显示效果

默认状态下,HTTPS链接会使用128位证书(如果不提供128位,则使用256位),但是 如果我们觉得128位证书不够安全,那就需要强迫站点使用256位加密。打开Firefox浏览器,在 地址栏中键入about:config,点击“保证小心”,然后在页面顶端的过滤器中输入rc4,将过滤到的结果的value值为 true的全部变为false(双击每个结果就可以改变),效果如下图:

Firefox-force-to-use-256-ssl-6

将所有属性值为 true的改为false以便于强制使用256bit证书

修改完毕后,清除浏览器缓存,重新打开Gmail,你就会发现GMail已经使用了256位证书(如下 图)。

Gmail-ssl-256

经过这一番折腾,你的Gmail就已经加强的安全系数,同时所有使用HTTPS的网站(例如 Twitter、Google Docs等等)也都将使用256位证书,这样可以让我们的数据更加安全,这也是我们所愿意看到的。

六、还有没有补充?

我仅仅是网络平民,会的并不多,如果本文存在技术漏洞,请你提出来,我将虚心接受。这篇文章,就写到这 里,欢迎转载、批评等……

Wxzbb@2009年7月30日于大西北的兰州

Via

 

WXZBB

Profile-perrmissionProfile-contact

Post a comment or leave a trackback: Trackback URL.

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s