1/18/2010

平民技术,检查你的 Google 账户安全!

感谢 WXZBB 的投递!

2009年7月27日-28日这段时间,Twitter上的朋友开始有人报告自己的Gmail账户中在自己不知情的 情况下做了转发,而转发地址是一个陌生的Gmail邮箱,与此同时,我也检查了我目前使用频繁的4个Gmail,发现 无一例外地全部做了陌生的转发,目前尚不知道转发的邮箱是谁所有,他为什么要侵入邮箱做这些转发?(此处建议大家发挥想象,尽量猜……

不过还好,在被设置了陌生转发的这段日子里,邮箱里没有任何敏感邮件或者是隐私邮件,但不得不让我再次对Google Account的安全性有了重 视,目前Google账户所绑定的服务有很多都是具有隐私性质的,如果不保护好自己的Google账户,密码等内容一旦泄露,将会对 Google Account持有者带来不可想象的损失

想到了一些Google账户的安全性检查方法,写下来和博友、谷粉等一起分享。

一、何谓Google Account?

google-account-1

Google Account是你使用所有Google服务的凭证,也就是你在Google上登记的的账户。同 时目前情况下,Google Account账户的密码是所有你所使用的Google服务的密码(例如Picasa、GMail、Google Groups等等),所以Google Account是一切服务的大前提,它关联了所有你已经开通的服务,而且,在 你无意中可能已经在Google Account的设置中填写了你的各种隐私信息,包括电话、地址等,所以保护好你的Google Account就显得很重要了。

当然,我不是安全专家,我的这些安全观点,仅仅来自平常的 生活。

二、保护,先从Profile做起

好了,Google Profiles服务为我们提供了一个向他人展示自己的页面,并且可以对不同群组的人显示不同的内容,可是总是有一些用户(请勿对号入座)忽 略了这些权限设置,导致自己的隐私被他人盗取。例如Wxzbb的Google Profiles地址是 http://www.google.com/profiles/heiker3630 ,这个页面普通用户只能看到我的基本信息(出生地、职业等等),只有我的Coworkers才能看到我的联系信息,而这些都需要经过一番设置。其实都是一 些很简单的操作,几分钟便可以搞定。(这里以Google英文版为例)

  1. 首先登录Google Prefiles,用你的Google账户登录,登陆进去后,点击右上角的Edit Profile
  2. 在编辑页面中,点击"Contact Info"标签(如右图,中文版应该是"联系信息")
  3. 在接下来的设置中,你可以填写自己的电话、地址等等信息,然后请注意到"Who can see this information on my profile?"这个设置项目,这个设置决定了你的联系方式能够被那些人看见,而这就是保护你隐私的关键设置,在 下面的选框中选中你希望看到自己的联系方式的群组,也可以点击群组名称旁的"View"链接,增减这个组的成员。
  4. 设置完成后,不要忘记保存,之后,只有你指定的群组中的人才可以看到你的联系方式,这样,我们的第一步保护就做到位了。

profile-contact

profile-perrmission设置可以浏览联系信息的群组

三、Google账户安全-密码是关键

好的密码可以增加破解的难度,但是我只能运用平民知识来告诉别人怎样拥有一个比较安全的密码,会者请忽略此部分

  • 密码混有大小写
  • 密码包含数字
  • 密码包含特殊符号
  • 密码尽量没有任何意义

这就是我能想到的,当然,如果你有指纹识别器,你可以用密码生成软件生成一段密码,然后由指纹管理软件替你记忆,登陆Google Account时刷指纹后自动输入密码,由于我是用笔记本,所以我采用后者,效果不错,安全系数高,但是成本过高

四、用心排查可疑因素

如果你不留心,可能你的Gmail也会像那些朋友一样被做陌生转发,那么,你所有的密码重置邮件、通知邮件将会被他人一览无余,请你用心检查以下服 务的设置:

  • Gmail 设置中的转发以及 Gmail Gadget,任何可疑的转发建议删除,并且尽量不使用不 安全的、涉及账户安全的Gadget
  • Google Profiles中能够查看你的联系信息的联系人,确保这些人你都认识并且信任他们
  • 检查Google Picasa的权限设置,确保你的私密照片没有未经授权便可观看
  • 谨防钓鱼诈骗等信息,当心密码被盗
  • 留下空来大家补充

五、强制使用256bit安全证书

这一招能够加强所有通过HTTPS协议的网站的安全系数,但是目前只能对Firefox起作用,如果你愿意使用 更加安全的Gmail,相信换一下浏览器也不是什么难事吧?

首先介绍一下这里使用的EV SSL证书,这有别于通常所说的SSL证书(通常的SSL最高只有128bit加密,而EV SSL分为128bit 和 256bit)。

Extended Validation SSL Certificate, 简称为: EV SSL 证书,意思是:遵循全球统一的严格身份验证标准颁发的 SSL 证书 。 EV SSL 证书的产生是为了对付日益猖獗的网上欺诈犯罪,意在恢复并增强人们对网上在线交易的信心。EV SSL 证书是一种新型的需要对申请单位进行非常严格身份验证的SSL证书。如果您的网站部署了EV SSL证书,则用户访问时浏览器的地址栏会变 成绿色, 并在地址栏后面显示一个安全锁标志和轮流显示此网站的单位名称和此证书的颁发机构,明确 指出此网站的身份已经此证书颁发机构严格验证。目前 EV SSL证书加密强度有两种:最低128位和最高256位(这 里指的是SSL会话时生成加密密钥的长度,密钥越长越不容易破解)证书。但即便是128位的加 密强度,使用强行攻击的办法破译密码,也需要10的19次方年。EV SSL 证书是新一代标准的 SSL 证书,意在解决目前各个数字证书颁发机构颁发 SSL 证书采用的身份验证标准不统一的问题,同时让用户能够非常容易地区分出现有的 SSL 证书和新标准的 SSL 证书,即用户使用 IE7+、Firefox3.0+访问部署了 EV SSL 证书的网站时,地址栏会变成绿色,不仅显示安全锁,还显示单位名称和证书颁发机构的名称。而访问现有的其他类型的 SSL 证书时,则仍然只显示安全锁标志。目前在国内已经有部分网站可以看到绿色地址栏。

greenbarexample使用EV SSL证书的站点在IE7中的地址栏显示效果

默认状态下,HTTPS链接会使用128位证书(如果不提供128位,则使用256位),但是如果我们觉得128位证书不够安全,那就需要强 迫站点使用256位加密。打开Firefox浏览器,在地址栏中键入about:config,点击"保证小心",然后在页面顶端的过 滤器中输入rc4,将过滤到的结果的value值为true的全部变为false(双击每个结果就可以改变),效果如下图:

firefox-force-to-use-256-ssl将所有属性值为 true的改为false以便于强制使用256bit证书

修改完毕后,清除浏览器缓存,重新打开Gmail,你就会发现GMail已经使用了256位证书(如下图)。

gmail-ssl-256

经过这一番折腾,你的Gmail就已经加强的安全系数,同时所有使用HTTPS的网站(例如Twitter、Google Docs等等)也都将使用256位证书,这样可以让我们的数据更加安全,这也是我们所愿意看到的。

六、还有没有补充?

我仅仅是网络平民,会的并不多,如果本文存在技术漏洞,请你提出来,我将虚心接受。这篇文章,就写到这里,欢迎转载、批评等……

Wxzbb@2009年7月30日于大西北的兰州

Via WXZBB

没有评论: