作者dream1124 ()
看板iOS
标题Re: [问题] Apple ID在外国被要求登入
时间Sun Oct 6 01:35:37 2024
※ 引述《goodday5566 (好天五六)》之铭言:
: 今天早上起来拿起手机
: 发现有一则通知
: 是Apple ID在圣保罗被要求登入
: 不过最近除了第一次尝试用BTS买了台iPad外
: 从来没动过我的Apple ID
: 就算要登入也是用Face ID自动登入
: 也没有手动输入过我的密码
: 看来今天下班後要来把我所有的密码再更新过一轮了
两个检查重点
1. 密码是不是很好猜?
例如:用 email 出现的单字重新组合的,或者是常用密码如 p@ssw0rd
2. 有没有在其他网站使用类似甚至相同的密码?
尤其是用在那些看起来维护经费有限的小公司网站,或是为某些事情快速搭的短期网站。
如果有,那只要他们资料外泄,那你使用相同密码的重要网站帐号就有可能被猜到。
密码外泄的原因通常都是上面那两点。
综合来看,你会发现若要安全,那密码一定要难猜且各站尽可能不一致,
再不然每个网站都要启动多因素认证,不然早晚会有够重要的帐号被攻破,
但这很不容易做到,毕竟现代人动不动就有几十个网站的帐号,
而且有越来越多网站要求定期更换密码,但每个网站都去做第二重认证也很麻烦,
於是最後往往又更难避免重复。
为解决这个问题,除了使用 Google、Microsoft 等帐号在新网站登入外,
一个好落实的做法是除了本来会要求多因素认证的重要帐号如
Google、Microsoft、Apple、金融机构和一些支付外,
其他不常用或未留交易资讯的帐号密码全部用乱数产生,
然後使用密码管理服务去记那些乱数密码,等到要登入次要网站时,
再透过 mobile app、浏灠器外挂等工具输入密码。
这样不但可以取强度超高的密码不怕人家猜到,
而且不管网站是否要求更换密码也都不费神,可以说是兼顾安全与方便。
我是用 Microsoft 帐号记密码,然後 Google 记认证码,这样就算 Microsoft 被盗,
骇客也缺乏足够的资料登入有交易方法的重要帐号,进而能控制最坏情况下的损失。
网路时代人们动不动就是几十个帐号,防盗工作真的很重要不容轻忽,
因此分享一点管理资安的方法供大家参考。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.167.21.1 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/iOS/M.1728149739.A.A3A.html
1F:推 joseph0318: 用iOS 内建密码管理就好 还有内建验证器 不用另外开 10/06 02:19
2F:→ joseph0318: 程式是复制验证码 但前提是Apple id千万不能被盗 10/06 02:19
3F:→ joseph0318: 而且用内建的有个好处 safari开不正确的网址 内建密 10/06 02:21
4F:→ joseph0318: 码管理程式不会跳出来要帮你自动填密码 所以发现没跳 10/06 02:21
5F:→ joseph0318: 出来自动填写 就会警觉是钓鱼网站 10/06 02:21
6F:推 littlewhite: 内建密码好像不会存App的帐密,只会存在浏览器输入 10/06 08:39
7F:→ littlewhite: 的? 10/06 08:39
8F:推 ansinlee: 回二楼 一样可以 10/06 10:36
9F:推 chualex66: 首选是通行密钥(Passkey),再来是时间制两步骤验证 10/06 12:17
10F:→ chualex66: (TOTP,也就是存在APP中每30秒会换一个的),再者是 10/06 12:17
11F:→ chualex66: 传统2FA(寄简讯或是Email),最後底线才是密码管理器 10/06 12:17
12F:→ chualex66: 管理所有网站的独立密码。 10/06 12:17
13F:→ chualex66: 然後尽量不要把不同的验证方法(例如TOTP和密码)存在 10/06 12:19
14F:→ chualex66: 同一个管理器里,这样会破坏两步骤的意义。 10/06 12:19
15F:推 chualex66: 然後连TOTP都有可能被钓鱼,但Passkey因为公私钥的设 10/06 12:24
16F:→ chualex66: 计不会被破,甚至可以做到完全无密码。但关於这是什麽 10/06 12:24
17F:→ chualex66: 原理我实在是不懂只能让高手来解答了。 10/06 12:24