硕鼠的博客站

大家好，欢迎收听“老范讲故事”的YouTube频道。今天，咱们来讲一讲大学新生的账号管理课程。大家知道，我儿子参加完高考，过完暑假呢，应该去上大学。昨天呢，也刚给他买了新的电脑，趁此良机，把账号管理这节课给他上了。咱们现在的账号都是什么状态？就是所有网站跟服务，都是需要新的账号的。你不给他提供账号，通常他是不给你提供服务的。为什么呢？他这么贪心吗？一定要让我登录啊？匿名不行吗？不行，因为有很多人会去写爬虫，会去写机器人。当你的这个服务不需要账号认证的时候，这个网站就直接会被攻击。所以，为了避免攻击，他们一定会要求你去登录。然而，登录了以后，还有些其他的好处。比如说，登录了以后，有你的联系方式了，他可以给你发短信、发邮件说：“哎呀，我最近更新了，我最近有优惠，赶快回来买东西啊。”他会干这样的事情。我们现在大部分的账号，都是实名制的啊，都是跟我们身份证绑定的，而且呢，上面都有联系方式。所以呢，进行这种账号管理方面的学习，还是非常非常有必要的。

有一些常见的错误方法。第一个就是使用简单密码啊，我的密码叫12345，这个是不行的。被人猜出来了以后，会损失惨重的。因为很多账号后面是有钱的，你支付账号、银行账号、游戏账号都后面都是有钱的。你让人猜出来了以后，非常麻烦。我记得我在盛大上班的时候，我们专门有一项处罚叫弱口令处罚，就是他每周会有一个机器，自动的尝试所有人的口令，一旦被他试出来了，罚款，而且罚得非常狠啊。我记得是罚……，可能一个月的薪税的百分之多少，具体想不太起来了，反正是挺重的。第一个低级错误是什么？就是使用相同账号。就是我有100个账号，这100个账号的用户名跟密码都一样。这是非常非常危险的，千万不要这么干。为什么？万一有一个网站被破解了，等于你所有这100个账号全都被破解了。人家就知道，说你这个人是用的相同的账号。那你说人家怎么知道我相同啊？人家也不知道，人家会是破解了一个网站，得到了他的全部的用户名和密码信息，以后就会拿着这些用户名和密码，到其他不同的网站上去测试。如果登录成功呢，就说明你被破解了啊。但是这样的一个过程，所以千万不要使用相同账号。第三个呢，就是把密码忘了，这个肯定也是一个很低级的错误。过了一段时间，哎呀，这密码是什么，我想不起来了啊。这个很麻烦。那么我们就要去进行账号管理了。特别是大学新生啊，原来没有那么多账号，上大学了就会有大量的账号出来。我们要去做这件事，进行账号管理。我们要先想清楚一个问题，我们到底怎么算一个人啊？我到底怎么证明我是我啊？首先我们有身份证，身份信息在中国每个人都是有的。你没有身份证，你连算不算个人都不好说啊。然后是手机号，咱们有大量的账号，其实是绑手机号在中。国这块特别严重，在国外还好那么一点点啊。他们动不动就是哎呦，绑个手机号吧，收个验证码吧。实际上就是在绑你手机号。但是你要注意啊，你做手机号的时候，都是进行实名认证的啊。

所以，我们的所有手机都是实名制的。啊，再往后呢，是邮箱啊。我们每一个人在互联网上要有一个自己的位置。国外其实主要是以邮箱为认证的。相对于此，比如像Twitter，如果不去申请这个高级账号，不去申请付费的话，它不要求你注册手机号了。你有个邮箱就可以去使用。包括你去注册Gmail，注册它不需要你手机号，有邮箱就用了。所以我们需要一个最原始、最基础的邮箱。而且最基础的邮箱通常是绑定手机号，也就是实名制了。这为什么呢？你万一邮箱密码掉了呢？万一邮箱被人劫持了呢？什么叫劫持了？就是别人拿你的账号密码，登录到你的邮箱上去了。那么在这种情况下，人家如果想改密码的话，他就需要向你的手机上去发短信。他收不到这条短信，就没法改你的密码。你就还可以再把这个邮箱再要回来。这是很重要的一点啊。所以我们需要有基础的身份证、手机号、邮箱。在中国呢，可能我们每个人还会有一个微信号，或者有些人还有支付宝的账号。这都属于我们的一些基础账号。

好，那我们讲到基础账号的一个概念了。其实啊，我们在互联网上遇到的账号，基本上属于两大类啊。一类就是基础账号，就是它不允许你用第三方账号登录，也不允许你用第三方账号来注册啊。什么叫第三方账号登录？你比如说我现在打开open AI的服务，它允许你用谷歌账号、微软账号和苹果账号来登录。你不需要再去注册一个新的账号，给它一个新邮箱，写一个新密码，不需要了。它允许你使用第三方啊。但是有一些是不允许的。

比如，苹果、谷歌、微软，他们都不允许；腾讯、阿里，他们也是不允许的。这些都属于叫基础账号，所以我们需要留一批基础账号。这些账号是不允许使用第三方账号来登录的。所有基础账号，告诉大家一个可以偷懒的方法：你们可以用同一个用户名和密码。为什么呢？如果谷歌、微软、苹果、腾讯、阿里被人破解了，那基本上就是天下大乱了。有的是比你有钱的人啊，有的是黑客更愿意上去折腾一下的人。这个事还轮不上咱们啊。而且呢，他们被破解的概率是非常非常小的。所以呢，这几个基础账号，我们可能用一到两个密码就可以了。你说我实在不行，我就要用5个或者六七个完全不一样的密码，没问题啊，你能记得住就行。千万别忘，因为这种基础账号，我们通常是不放在密码管理器里去存的，都是要记脑子里的。为什么呢？这个待会我们再讲。

找回的过程叫万一，我所有都丢了啊，现在孑然一身啊，光迢迢孑然一身了，啥都没有了。我现在得到了一台可以上网的电脑，我怎么可以重新证明我是我的一个过程。这个就是需要这些基础账号。至少你要保证，你的邮箱的基础账号的密码是能记住的啊。其他的你说我实在记不住，你可以放在密码管理器里，至少你要记这个最基础邮箱的，比如机妙的或者是微软邮箱的。千万不要找那种小的邮箱服务商，一定要找最大的去用式。这个也是很重要的啊。

当然，除了基础账号和第三方账号之外，大家还要注意，有一些账号它属于高危账号，比如银行账号。银行账号，它也是不允许你用第三方方式登录的。

啊，但是呢，因为里头有钱，所以呢，一定要去用一些比较安全的方式，来去保管这个账号。当我们有这么多账号的时候，我们就要来去思考：怎么能够去管理这些账号，怎么能够去巡回这些账号啊，这就是账号管理的一个策略。我们首先想一个最极端的情况啊：我今出去了，所有东西都丢了，手机也没了，电脑也没了，啥也没有，我就能记住，可能少数少数那么几个密码，多了记不住了啊。可能有个别的网址，我通过搜索引擎才能搜到。那么现在，呃，我要怎么去证明我是我啊？这个呢，叫账号巡回过程。我们第一件事是什么？有一个基础的邮箱账号，我们要先能登录到我们的邮箱里去。登录进去了以后，我们就可以一项一项的去找回了。可以给我们的手机运营商去发邮件，可以去手机运营商的平台上，去想办法登录。哪怕说哎，我忘记了啊，我不知道该怎么登进去了，这个你可以用你的邮箱登录。登录完了以后，说我忘记密码了，请把密码给我发回到我的邮箱里去。你可以通过这种方式呢，在一点一点的，等于我从一个最开始的线索，慢慢的把你各种账号再找回来。这个是允许的啊。

那你说，我已经拿到手机了，我不是什么都没有啊，我手里还有手机啊。有手机呢，其实大概率就不会有什么，这个巡回的问题了。因为用手机去进行各种安全认证，还是非常方便的。当然这点要注意啊，一旦丢手机是非常麻烦啊。丢了手机，马上给营业厅打电话要求停机，这个事是必须要去做的。一旦你的手机，可以接收这个短信验证码，黑客就会快速的尝试破解你的账号，这时候，手机的安全就显得尤为重要了。

把你的各种密码都改掉。比如说，我今天想去改我的邮箱密码了。啊，他就会向我的手机发验证码，说：“你真的要改吗？真的要改的话，我就给你改了。”如果你这个时候没有把手机停机掉，那是非常非常危险的。当然，手机发验证码这事也很麻烦。所以呢，我们还有一种东西是什么呢？叫认证器啊，叫微软认证器，谷歌认证器，这是我们现在已经用的最多的两个认证器。这个认证器干嘛使呢？它就是会定期的，一般是一分钟一组啊，给你每一个账号生成一个不同的6位数，有的是8位数的这样的一个数字。那这个东西很有意思啊。比如说，我们家现在大多用的是微软认证器，因为谷歌认证器经常连不上。微软认证器是没有问题的啊。这认证器里头，比如管理了100个账号，他们就每分钟给这100个账号生成一个新的密码。他是这样来工作的。

有了这种密码认证器以后，就可以去设置什么呢？叫双重认证。双重认证就是当你用密码登陆以后，你必须要用你的认证器里边这个啊，随机的码啊，一分钟变一次，这个随机码，再输入一次，他才让你进去。而且为了尽量让你少输几次，你比如说我在同一台电脑上，我反复登录一个邮箱，他是不会要求让我做第二次认证的，除非我做一些比较高危险的动作，比如改密码对吧，他会要求你做第二次认证，否则的话不做的。但是你说我今天突然啊，找了一台新的电脑啊，这个电脑完全是新的，从来没有登录过，我要在这个电脑上，去登录我的邮箱的时候，他就会要求我去做双重认证。而就刚才咱们讲这个案例，就是双重认证的一个实际应用。当你在一台新设备上登录时，系统会要求你进行双重验证，以确保账号安全。

我突然孑然一身，跑到了一个完全陌生的地方。去登录啊，这个呢，会有一定的难度啊。但是呢，在这种情况下，他会给你一些其他的选项。比如说，你的双重认证器现在不在身边了，他问你可不可以接收短信啊。说我也不可以接收短信。有的时候呢，他还会给你一些其他的登录方式。比如说是一些问题啊，我小学老师叫什么啊，我出生在哪个城市啊，或者是我小时候养的第一个宠物叫什么名字。这些问题呢，可以去证明你是你的啊，帮助你去找回账号啊。它也有一些这样的功能。那么，加入了双重认证，加入了微软认证器之后，下一个东西，我们需要去做的呢，就是要使用密码管理器了。

密码管理器是干嘛使的？刚才我们说了，有很多很多密码我们记不住，而且有些密码呢，或者有些账号呢，我们也不想让他用我的，比如谷歌账号去登录。我不是很信任这个网站啊，我不希望用我的谷歌账号登录。我就是要在那去临时注册一个新账号，我不希望他跟我这些实名认证过的账号绑在一起。这个时候就需要大量的新账号。那这种账号怎么处理？就是用密码管理器来处理。还会记录说这个网站是什么，用户名是什么，密码是什么。而且这种密码，通常是由密码管理器现临时生成的，很长很长，各种乱码在一起，就是你记也记不下来的。而且每一次生成都不一样啊，完全随机的。那你说这玩意咋去使用呢？等你下次再需要登录这个网站的时候，密码管理器就打开了嘛。他就直接从这个密码管理器里，把这个密码找出来，直接替你填掉了。

他是这样来空错的。这个密码管理器呢，现在最好用的就是 One Password，就是“1234567”的一啊，这个是阿拉伯数字“一”，后边是“password”。这个是要付费的啊，就是我原来是做的单人付费，一个月大概是两美金啊。现在由我儿子也开始用了吧，我就去做这种家庭付费，就是稍微贵那么一点点。那么他就可以直接使用我的账号，存储他自己的密码，但是他的密码我是看不到的啊。

使用了密码管理器以后啊，这个密码其实是存在云端的啊，因为我们有大量的设备，是移动设备。我虽然网站登录了，但我在移动设备上我还要再重新登录，怎么办呢？啊，他是直接从云端会把这个密码抓下来，在移动设备上重新登录上去啊。他是这样来工作的。那么你说密码都存云端了，这安全吗？挺安全的。它的密码是分三部分来存的：第一部分呢，是密码加密后的这个结果存在云端上；第二部分呢，叫密码管理器密码，这个要求你平时记住，你平时使用密码管理器的时候，他是要求你去输入这个密码的，你不输入的话，他是不会从云端把这个密码取下来，然后解密了交给你的。这个是必须要记住的，是第二个；第三个呢，就是密码管理器通常会有一个叫安全口令的东西，这是一个临时随机生成的，而且很长很长的一段断码啊。这个断码使了，就是当你需要对密码管理器进行一些危险设定的时候，你需要提供这个东西。所以啊，密码管理器，我们会把口令相关的信息，存在三个不同的地方。你比如说第一部分，所有的密码。

由密码管理器加密了以后，存到云端去。第二部，密码管理器的密码我背下来了，记在脑子里，谁都不告诉。而且，它是单独的一个密码，跟其他所有密码都不一样。第三个呢，就是密码管理器，它那个 TOKEN，我可能找了一个笔记软件存下来了。这是啊，密码管理器的工作方式。刚才我们讲的是新用户，我们就按这种方式，先从基础账号开始，能用基础账号认证的，用基础账号认证；其他的，就上密码管理器。这就已经可以工作了。

老旧用户该怎么办？老用户啊，首先，要进行账户整理。你要看看你都有多少账号，找一个本，找一个笔，或者找一个 self 表格，把它都登记下来，我都有多少账号啊？然后呢，你要选择一个密码管理器，要重新去调整，说我这个账号，怎么去进行双重认证或者多重认证，怎么让这些账号之间进行相互的认证。比如，说我这个账号是通过邮件认证的，那个账号通过微信认证的啊。怎么能够让账号之间的关系，把它理顺出来。然后呢，去重新设置这个基础密码。比如说，这是阿里的一些密码，我要重新设啊，设的是比较长一点，以后再去登录的时候呢，我使用密码管理器，或使用这些东西去登录，去啊，都是可以的。

然后，妥善的保管密码管理器的 TOKEN。你要把这个东西存好，这个平时不止啊，只有在极个别的时候才用。这东西什么时候用啊？比如，你换新电脑的时候，他用啊，或者是啊，你需要对密码管理器进行搬家，或者去做一些比较复杂操作的时候，用啊。然后呢，要去设置云同步。大家注意。

密码是同步到云端的。为什么要同步到云端？就是当电脑坏了，我现在有一台新电脑的时候，你不能因为说我这个密码都存电脑里，我拿不出来的事，不行啊。所以必须是在云端，可以在那边去，通过你的密码，通过这个TOKEN，重新把密码管理器里的密码把它再拉出来。

我们现在呢，要做一个简单的小练习。小练习是什么？就是找一台新电脑，找一个新手机，看看我们怎么能够把整个这一套密码都给它运转起来啊。先登录什么？先下载什么？再登录密码管理器，然后再设置微软认证器或者是谷歌认证器，得到所有的这种令牌——就是它这种一分钟变一次那个东西。我们平常管这个东西叫令牌。得到了所有这些东西以后，我们就可以登录所有的账号。这是一个简单练习。

那么进阶练习是什么？进阶练习就是换手机。当你的这样一台手机不用的时候，你现在有一个新手机了，它的密码管理器迁移，它的谷歌或者微软认证器的迁移，这个是稍微要麻烦一些的对吧。我怎么能够迁移过去？怎么能够让新的手机可以收到验证码？新的微信怎么能够登录？怎么进行各种的历史信息备份啊？这是一个稍微进阶一点的练习，就是所有的账号管理。其实核心还是要逻辑清晰。我们的逻辑是：我有身份证啊，我证明我是我；我用身份证办手机号啊，证明这个手机是我；然后我再用这个手机号去确认一个基础邮箱，证明这个邮箱是我；其他的这些基础账号我们就用这些邮箱去注册去了啊，用这个邮箱，用这个手机去注册。再往后，我们就可以通过这些基础的账号，去管理我们所有的其他账号，包括社交媒体、银行账户、云服务等等。这样，无论我们更换设备还是遇到安全问题，都能确保我们的账号安全和信息的连续性。

可能在国内，还有微信和支付宝账号，都是用尽可能相同的手机和邮箱去注册，然后再去设置这个叫密码管理器。这是一个什么样的东西？进到密码管理器去，你最基础的那个邮箱密码是不？进去的只有外面的这些是可以存到密码管理器里去啊。然后密码管理器到云端去同步，可以在不同的设备上直接取到各种各样的密码，而且很安全。

再往后呢，是啊，使用密码管理器管理所有的这种不那么重要的网站。密码相对重要一些，然后呢，你也不介意别人实名追踪到你的网站，就可以使用第三方登录。就是你比如我用微信登录了啊，我用支付宝登录了，我用谷歌登录了啊，用这样的登录方式去使用他们的服务啊。他大概是这样的一个大的逻辑，一层一层一层。

在这个过程中，我们要想清楚说哎，如果我今天彻底的丢失了电脑，丢失了手机，假设我做了个盆啊，我就润了，然后呢到了地方以后，我怎么能够逐步的找回我所有的信息来？这是大家需要去做的，一些预设的训练啊。如果你说呃，我就老老实实在家呆着，每天手机都不离开身边，那就相对来说要简单一些。好啊，这就是我们今天的账号管理第一课。

好，感谢大家收听啊。如果你们家里头也有新大学生，可以让他听一下。好，这期讲到这里。呃，请帮忙点赞，点小铃铛，参加我们disco论群，也欢迎有兴趣，有能力的朋友加入我们的付费频道。再见。