这几次数据库泄漏让大家越来越重视自己的密码安全。不过大家有没有考虑过一个问题:如果你的主邮箱被人入侵了(e.g. 密码泄露,手机被偷...),怎么办?
我们可以用lastpass,1password对应不同网站,生成一堆不同的密码。但是如果你的主邮箱被盗了,你用这个邮箱注册的所有网站就全部可以通过邮箱来重新设置密码了。这时候你的lastpass,1password生成的密码再怎么强大再怎么随机也都没用了。我仔细想了下,针对这种情况,貌似现在没有什么用户端好用又安全的解决方案。
目前能想到的现成的解决办法
1. 对主邮箱设置二次验证。
这种方法安全倒是安全,但是太麻烦。特别是主邮箱,每天要登陆很多次,每次都敲验证码太烦了,很不人性化。另外一点就是主邮箱被入侵不一定是密码被盗,也有可能是手机被偷,然后别人通过手机的app来读取的信件,这种情况二次验证就失效了。
2. 通过类似于yubikey的硬件实现二次验证。
这种方法安全也方便,但是手机端未必支持。而且还需要保证随时携带yubikey这类的设备。
3. 主邮箱不用来注册其他网站,而是通过其他邮箱注册其他网站,然后转发给主邮箱。
这种方法并不能防御隐秘的黑客入侵。如果不设置转发,那么每个网站对应不同的邮箱,这样做的话每注册一个网站还需要额外注册一个对应的邮箱地址(不能是邮箱别名)。非常麻烦。
上面的方法要不就不安全,要不就不方便。不知道大家有没有什么想法?能否实现一个“足够”安全,又很方便的方案呢?
我们可以用lastpass,1password对应不同网站,生成一堆不同的密码。但是如果你的主邮箱被盗了,你用这个邮箱注册的所有网站就全部可以通过邮箱来重新设置密码了。这时候你的lastpass,1password生成的密码再怎么强大再怎么随机也都没用了。我仔细想了下,针对这种情况,貌似现在没有什么用户端好用又安全的解决方案。
目前能想到的现成的解决办法
1. 对主邮箱设置二次验证。
这种方法安全倒是安全,但是太麻烦。特别是主邮箱,每天要登陆很多次,每次都敲验证码太烦了,很不人性化。另外一点就是主邮箱被入侵不一定是密码被盗,也有可能是手机被偷,然后别人通过手机的app来读取的信件,这种情况二次验证就失效了。
2. 通过类似于yubikey的硬件实现二次验证。
这种方法安全也方便,但是手机端未必支持。而且还需要保证随时携带yubikey这类的设备。
3. 主邮箱不用来注册其他网站,而是通过其他邮箱注册其他网站,然后转发给主邮箱。
这种方法并不能防御隐秘的黑客入侵。如果不设置转发,那么每个网站对应不同的邮箱,这样做的话每注册一个网站还需要额外注册一个对应的邮箱地址(不能是邮箱别名)。非常麻烦。
上面的方法要不就不安全,要不就不方便。不知道大家有没有什么想法?能否实现一个“足够”安全,又很方便的方案呢?
Select Language