匿名网民的安全指南(2)</h5>

作者:virushuo 发表于 2009-07-27 02:07 最后更新于 2009-07-27 11:07
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本声明
http://blog.devep.net/virushuo/2009/07/27/anonymous-security-guide-2.html


题外话:有人问我,这么极端的安全有用吗? 我的回答是:对某些人没用,对某些人有用,对另外一些人可以救命。

前文:匿名网民的安全指南(1),是关于计算机安全方面的内容

Version: 1.0b virushuo (twitter@virushuo) 20090727

注意:

1 这不是一份完整的安全手册,只是一些知识参考。但他能帮助你了解那些最重要的细节。如果有发现相关部分好的文档和教程,请提供给我,我连接上。
2 本文主要用于商业安全和个人隐私安全(包括你的私人照片,银行账号等的安全),本文不鼓励将这种技巧用于其他用途,使用在其他用途造成的损失和后果与本文无关,正如用菜刀杀人与磨刀的老大爷无关。
3 本人并非专业研究计算机和网络安全。只是觉得略有所知,所以分享一些常识。如有专业人士认为有错漏,请不吝赐教。virushuo( attt ) gmail.com
4 Geek的选择,geekcook.org
5 郭宝锋,你妈妈喊你回家吃饭#amoiist 恭喜你成为本年度收获明信片最多的人
6 本文会时常修补增加内容,要转载请务必注明出处和以上注意事项。

账号安全和如何选择安全的服务

使用互联网,就是在使用各种服务。对于大部分服务来说,账号是唯一用来识别你的方式。账号安全不仅关系到你的在线数据安全,还关系到你的身份。如果对方盗用了你的账号,就很容易利用信任关系,从你的朋友手里盗走更多的东西,并且危害你朋友的安全。这不仅在计算机安全上成立,在现实中也比比皆是,比如如果你的手机落到别人手中,对方也有可能利用你的手机给你家人打电话说你出了车祸,急需手术费用等方式骗钱。在互联网上,不加密的情况下,你并不能知道那个熟悉的账号后面是你的朋友还是江洋大盗。所以,不仅为了你自己,为了你和朋友们的安全,请保护好你的账号。

安全的服务至少应该提供可选的https连接方式和一个足够复杂的验证码。来看看gmail和国内比较常用的新浪,163邮箱的对比吧。

1 复杂的验证码

一个足够安全的验证码至少要包含以下特征:

  • 要有横向和纵向的随机扭曲
  • 位置和大小要随机变化
  • 验证码长度要随机变化
  • 内容应该是字母的而不仅仅是数字
  • 字体要有随机的变化
  • 最好再有足够的干扰图案和条纹

目前看来,能符合以上大部分特征的服务,只有google,yahoo和msn这3家。这样的验证码在目前的情况下OCR出结果的成功率非常低,这样对于防止暴力破解相当有效。换句话说,如果有人想猜测你的密码,如果想解开如此复杂的验证码,只让计算机替他一个个试验是不行的,必须还需要有个真正的人来帮他做识别。这样就让破解的速度大大下降,成本大大上升,距离安全就更近了一步。

图0:看看google的验证码,其实有时候人来辨别也有一定困难。

国内常用的服务商中,sina和163的验证码也算安全,虽然距离gmail尚有较大距离。第二梯队的网站的验证码通常极不安全。

图1:163的中文验证码,其实也并不是很难处理。OCR(图像识别)软件要处理的情况通常比这个更复杂。

看看tom的,是不是觉得惨不忍睹?这种水平的验证码OCR的成功率轻松就可以达到100%,事实上和不存在是一样的。交警用来拍违章车牌的系统,要处理的情况都要比这个复杂吧?识别率不一样在98%以上?

图2:Tom的验证码,不堪一击

2 进行安全登录

常用google的同学会发现,当你登录google账号的时候,地址栏上的http会自动切换到https。也就是说,google是强制使用https方式进行登录的。进行登录的时候,需要把用户输入的用户名和密码发送给服务器,验证用户身份。如果是普通的http方式,所有传输的数据都是明文发送的,包括刚才输入的账号和密码,这种明文信息是非常容易被截获的,数据包所经过的任何一个节点都可以轻松获取,和你在同一个局域网的用户也有可能利用arp欺骗等方式获得这些数据。想想看,你在路边急需上网,突然发现了一个可用的无线连接,是不是很高兴?这时候,如果通过http登录了邮箱,账号就可能被泄露了。所以,强制使用https的方式进行登录,是非常必要的安全措施。google和yahoo都已经是这样的方式了。

同样看看163和sina吧。163是可选ssl的,默认是选中,勉强算合格。sina也可选ssl,但默认是不选中,高下立现。至于tom,似乎那个"增强安全性"被选中之后也不会通过https登录...

图3:sina免费邮箱,"增强安全性"默认是不选中的

3 日志功能

日志可以帮助你了解是否你的邮箱被入侵过。遗憾的是,目前应该只有gmail具有这个功能。把页面拖到gmail邮箱的最下面,可以看到 Last account activity: 1 minute ago at this IP 字样,这里给出了最后一次账号活动的时间和ip。

图4:gmail页面尾部有log功能

按一下Detail,信息更完整,最近的所有访问都有记录,包括IMAP方式,POP方式,WEB方式,一个也会少。有这个功能,可以很容易的知道是否有别人使用过你的邮箱。有人入侵就会留下时间和IP。这些记录是不可被抹掉的,除非入侵google的服务器。这可不是件容易的事。

图5:gmail的活动报告

鉴于以上原因,我强烈建议使用gmail作为你的主要邮箱,这是目前互联网上能找到的安全性最高的服务了。甚至我认为一个有理智的入侵者不应该来打你gmail的主意,因为他们很难成功,即使成功也很