我们来谈谈安全性。第二部分：启用两步验证，保护信息安全。

上一篇文章主要介绍了Wi-Fi安全。这次我们来谈谈账户密码的安全性。账号密码的安全实际上牵一发而动全身。毕竟现在邮箱、账户、手机中都包含了大量的个人信息，所以账户密码的安全可以算是隐私安全。

【第一节】无论密码多长，都存在风险。关于拖动数据库

所谓账户秘密，就是账号和密码。对于某些网站，昵称就是帐号。这样一来，安全性自然就低于昵称和账号不一致的网站。

接下来，我们来看看密码。您可能认为包含数字、大小写字母和符号的密码是安全的。

那我只能送你一句话：“太年轻，太天真！”

以下密码足够强大：

ppnn13%dkst2月1日

有数字、字母、大小写字母、符号。然而，这并没有什么用。

这组密码其实有很多历史。几年前在著名的CSDN泄密门上被网友称为“最诗意的密码”。为什么这么说？其实这套密码出自唐代著名诗人杜牧的诗《赠别》“萍萍袅袅十三年余，豆蔻二月初发”。

简单来说，数据库拖拽就是黑客利用网站漏洞窃取数据库中的敏感信息。其实拖库可以做的事情还有很多，比如利用那些漏洞，如何解密得到的MD5加密密码等等。不过，本文的主题是教大家如何防御。至于如何攻击，我就不详细说了。

您可以确保您的密码足够长且足够强，但密码始终存储在网站的数据库中。您无法保证您输入密码的每个网站的安全性都那么强。事实上，近年来图书馆被拖过不少门户网站，其中就包括传说中的XX万条CHECK IN记录。

【第2节】RSA泄密凸显“两步验证”的重要性

那么，有什么防御方法和策略呢？答案当然是肯定的。

首先，有一些技术上的TRICK，比如每个论坛给出的密码不同，这当然会让你自己背出密码变得困难。或者密码是某个固定群组的缩写和论坛的名称。这只能算是临时措施。毕竟有可能被黑客推断出来。

严格来说，两步验证实际上应该称为“双因素身份验证”，即英文Two-factorauthentication。它基于两个因素来做出验证判断。传统的密码认证属于一元认证。当然，还有更多样化的验证，比如三因素认证，除了密码和PIN之外，还添加了指纹等因素，但这对于个人用户来说基本上是没有必要的。

下图很好的解释了“双因素认证”的原理。密码属于“你知道的东西”，而身份验证器中闪现的6位PIN码属于“你拥有的东西”。只有将两者结合起来，才能打开神奇的宝箱。

第二步验证有多重要？这么说吧，国外所有大公司的信息安全基本上都是基于这个原则。例如，2011年上半年，安全行业发生了著名的RSA泄密事件。 RSA是EMC的一部分（EMC去年被DELL收购），它的名字实际上是源自其三位创始人名字的算法。这三位专家都是顶尖的密码学家。例如，最左边的罗纳德是麻省理工学院的教授。他们于2002 年获得了都灵奖（计算机界的诺贝尔奖）。

RSA算法本身是非常安全的。关于RSA算法的详细内容请自行查看维基百科：https://en.wikipedia.org/wiki/RSA_(cryptosystem) 这里的解释不够详细。如果你真想了解的话，还是需要看书的。简单来说，就是大素数的分裂。使用最快的超级计算机计算这6 位数字需要数千年的时间。不过6位数字每分钟都在变化，所以我们要正面突破。目前基本上是不可能的，因此非常安全。

绝大多数国外500强企业也使用RSA的安全解决方案。具体来说，它是一个名为SecurID的设备。目前国内中国银行的友盾也是基于该系统。

整个攻击过程基本应验了那句话：“最坚固的堡垒往往是从内部攻破的”。事情的具体发展是酱紫：一名RSA员工从垃圾邮件文件夹中收到了一封鱼邮件。分叉网络钓鱼电子邮件，然后打开其中包含的受感染附件：因此，此次泄露背后的黑客深入RSA 网络，发现了包含与RSA SecurID 身份验证令牌相关的文件的文件。敏感信息数据库。虽然RSA 从未确认具体丢失了哪些信息，但有关使用SecurID 的美国国防承包商遭到黑客攻击的报道证实了RSA 攻击者已获得重要SecurID 种子（SecurID 种子）的谣言。

关于这次袭击有各种谣言。有传言称，黑客对RSA员工进行了长期研究，发现自己非常喜欢猫，于是故意用带有恶意代码的猫图片来引诱RSA员工打开。真实性未知。

出于国家安全考虑，厂商公布的信息非常有限。但接下来的一个月，笔者所在公司的IT工程师却异常忙碌：公司所有的SecurID Token都被更换了。有的同事刚换了不到一个月的token，又被要求重新换。至于原因，就是这次泄露。

可见，两步验证早已成为大型企业信息安全的标准。这对于保护密码安全非常有帮助。

【第三节】不开启两步验证功能典型风险举例

如果不开启两步验证，还是存在一定的风险。因为在这种情况下，密码是您账户安全的唯一依据。

以苹果手机为例。事实上，苹果的安全机制仍然存在较高的风险。但毕竟开启两步验证还是会增加操作的复杂度，所以苹果不可能要求每个用户都这样做。

如果用户使用iPhone并且开启了备份功能（系统默认开启），一旦账户密码被破解，你的个人地址、电话号码、通讯录、备忘录、电子邮件、短信、通话记录，甚至照片同步到云端，会暴露给黑客。

【第四节】 如何启用两步验证

以苹果设备为例，开启两步验证非常简单。网上有很多教程：

开启两步验证的好处是显而易见的。举个不恰当的例子，这就像在Wi-Fi 网络上打开MAC 白名单过滤一样。

【第五条】各大网站账户密码安全政策

本节我们就来看看各大网站的安全策略。主要可以分为几个不同的流派和层次：

1.Gmail、热邮件

整个网站都是基于HTTPS的，很早就开始支持两步验证，安全措施也比较到位。谷歌甚至推出了验证器APP。就我个人而言，我认为Gmail或Hotmail非常适合作为主要的安全电子邮件。考虑到网络原因，目前微软的Hotmail显然更适合。

2.阿里巴巴、网易、新浪

国内厂商也在做这方面的工作。比如新浪的叫维盾，网易的叫将军令，阿里巴巴的叫千盾。总体而言，三者中，阿里巴巴的安全性最好，并且整个网站都启用了HTTPS。至于网易和新浪，呵呵……

3.QQ、微信

微信是一种通过刷卡登录设备实施安全控制的策略。 QQ已经支持类似于两步验证的客户端验证。最近企鹅邮箱也实现了HTTPS，整体安全性正在稳步提升。没办法，鹅厂就是有钱，微信又涉及到支付，不让安全一点行不行？

4.SMZDM、京东

京东和SMZDM在这方面都比较落后。基本上，使用两组密码机制。这是登录密码和支付密码。也可以认为是引入一个因素，但这个因素是静态的。如果两组密码都被泄露，那将是一场灾难。

【第六节】养成良好的安全习惯，实施严格的防御策略

首先，打开所有可以开启两步验证的网站。下图是笔者安装的Google Authenticator，每分钟生成一个新的6位PIN码：

如果您使用的是苹果手机，请勿开启数据云备份。最多打开“查找我的iPhone”。对于Android手机，我建议您不要打开任何云相册：

那么，开启两步验证之后，是不是就一劳永逸了呢？答案当然是否定的。

目前各大网站的两步验证机制最终还是基于手机。也就是说，手机是其中非常重要的一部分。两步验证设备是否没电或未随身携带并不重要。您仍然可以通过直接向手机发送验证码的方式进行验证登录。

因此，手机的安全就成为了这个闭环中的重中之重：保持系统最新，不要root、越狱，不要让别人随便使用。开启必要的应用锁，例如支付宝、微信支付。另外，手机的锁屏密码不宜使用简单的数字或图案。 Android和iPhone锁屏密码都支持复杂的密码，而不仅仅是6位数字或图案：

您可以选择一些带有签名字母数字字符的易于记忆的密码，例如：Pi3.1415或E[空格]2.7818。此类密码比纯数字密码强得多。

我们来谈谈安全性。第1 部分：Wi-Fi 安全性简要分析。

正如之前Wi-Fi安全文章中提到的，对于没有全站HTTPS的产品，比如新浪微博，即使开启了微盾的登录验证，在Wi-Fi下仍然可以实现劫持，所以安全之路还真是任重而道远。