互联网时代生存的必备技巧,账号管理。老范给准备上大学的儿子准备的课程。——【救命!】大学新生必看!账号管理要命教程,别让黑客有机可乘❗

7 月 02

Luke Fan老范讲给儿子的IT课程 , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 互联网时代生存的必备技巧,账号管理。老范给准备上大学的儿子准备的课程。——【救命!】大学新生必看!账号管理要命教程,别让黑客有机可乘❗已关闭评论

大家好,欢迎收听“老范讲故事”的YouTube频道。今天,咱们来讲一讲大学新生的账号管理课程。大家知道,我儿子参加完高考,过完暑假呢,应该去上大学。昨天呢,也刚给他买了新的电脑,趁此良机,把账号管理这节课给他上了。咱们现在的账号都是什么状态?就是所有网站跟服务,都是需要新的账号的。你不给他提供账号,通常他是不给你提供服务的。为什么呢?他这么贪心吗?一定要让我登录啊?匿名不行吗?不行,因为有很多人会去写爬虫,会去写机器人。当你的这个服务不需要账号认证的时候,这个网站就直接会被攻击。所以,为了避免攻击,他们一定会要求你去登录。然而,登录了以后,还有些其他的好处。比如说,登录了以后,有你的联系方式了,他可以给你发短信、发邮件说:“哎呀,我最近更新了,我最近有优惠,赶快回来买东西啊。”他会干这样的事情。我们现在大部分的账号,都是实名制的啊,都是跟我们身份证绑定的,而且呢,上面都有联系方式。所以呢,进行这种账号管理方面的学习,还是非常非常有必要的。

有一些常见的错误方法。第一个就是使用简单密码啊,我的密码叫12345,这个是不行的。被人猜出来了以后,会损失惨重的。因为很多账号后面是有钱的,你支付账号、银行账号、游戏账号都后面都是有钱的。你让人猜出来了以后,非常麻烦。我记得我在盛大上班的时候,我们专门有一项处罚叫弱口令处罚,就是他每周会有一个机器,自动的尝试所有人的口令,一旦被他试出来了,罚款,而且罚得非常狠啊。我记得是罚……,可能一个月的薪税的百分之多少,具体想不太起来了,反正是挺重的。第一个低级错误是什么?就是使用相同账号。就是我有100个账号,这100个账号的用户名跟密码都一样。这是非常非常危险的,千万不要这么干。为什么?万一有一个网站被破解了,等于你所有这100个账号全都被破解了。人家就知道,说你这个人是用的相同的账号。那你说人家怎么知道我相同啊?人家也不知道,人家会是破解了一个网站,得到了他的全部的用户名和密码信息,以后就会拿着这些用户名和密码,到其他不同的网站上去测试。如果登录成功呢,就说明你被破解了啊。但是这样的一个过程,所以千万不要使用相同账号。第三个呢,就是把密码忘了,这个肯定也是一个很低级的错误。过了一段时间,哎呀,这密码是什么,我想不起来了啊。这个很麻烦。那么我们就要去进行账号管理了。特别是大学新生啊,原来没有那么多账号,上大学了就会有大量的账号出来。我们要去做这件事,进行账号管理。我们要先想清楚一个问题,我们到底怎么算一个人啊?我到底怎么证明我是我啊?首先我们有身份证,身份信息在中国每个人都是有的。你没有身份证,你连算不算个人都不好说啊。然后是手机号,咱们有大量的账号,其实是绑手机号在中。国这块特别严重,在国外还好那么一点点啊。他们动不动就是哎呦,绑个手机号吧,收个验证码吧。实际上就是在绑你手机号。但是你要注意啊,你做手机号的时候,都是进行实名认证的啊。

所以,我们的所有手机都是实名制的。啊,再往后呢,是邮箱啊。我们每一个人在互联网上要有一个自己的位置。国外其实主要是以邮箱为认证的。相对于此,比如像Twitter,如果不去申请这个高级账号,不去申请付费的话,它不要求你注册手机号了。你有个邮箱就可以去使用。包括你去注册Gmail,注册它不需要你手机号,有邮箱就用了。所以我们需要一个最原始、最基础的邮箱。而且最基础的邮箱通常是绑定手机号,也就是实名制了。这为什么呢?你万一邮箱密码掉了呢?万一邮箱被人劫持了呢?什么叫劫持了?就是别人拿你的账号密码,登录到你的邮箱上去了。那么在这种情况下,人家如果想改密码的话,他就需要向你的手机上去发短信。他收不到这条短信,就没法改你的密码。你就还可以再把这个邮箱再要回来。这是很重要的一点啊。所以我们需要有基础的身份证、手机号、邮箱。在中国呢,可能我们每个人还会有一个微信号,或者有些人还有支付宝的账号。这都属于我们的一些基础账号。

好,那我们讲到基础账号的一个概念了。其实啊,我们在互联网上遇到的账号,基本上属于两大类啊。一类就是基础账号,就是它不允许你用第三方账号登录,也不允许你用第三方账号来注册啊。什么叫第三方账号登录?你比如说我现在打开open AI的服务,它允许你用谷歌账号、微软账号和苹果账号来登录。你不需要再去注册一个新的账号,给它一个新邮箱,写一个新密码,不需要了。它允许你使用第三方啊。但是有一些是不允许的。

比如,苹果、谷歌、微软,他们都不允许;腾讯、阿里,他们也是不允许的。这些都属于叫基础账号,所以我们需要留一批基础账号。这些账号是不允许使用第三方账号来登录的。所有基础账号,告诉大家一个可以偷懒的方法:你们可以用同一个用户名和密码。为什么呢?如果谷歌、微软、苹果、腾讯、阿里被人破解了,那基本上就是天下大乱了。有的是比你有钱的人啊,有的是黑客更愿意上去折腾一下的人。这个事还轮不上咱们啊。而且呢,他们被破解的概率是非常非常小的。所以呢,这几个基础账号,我们可能用一到两个密码就可以了。你说我实在不行,我就要用5个或者六七个完全不一样的密码,没问题啊,你能记得住就行。千万别忘,因为这种基础账号,我们通常是不放在密码管理器里去存的,都是要记脑子里的。为什么呢?这个待会我们再讲。

找回的过程叫万一,我所有都丢了啊,现在孑然一身啊,光迢迢孑然一身了,啥都没有了。我现在得到了一台可以上网的电脑,我怎么可以重新证明我是我的一个过程。这个就是需要这些基础账号。至少你要保证,你的邮箱的基础账号的密码是能记住的啊。其他的你说我实在记不住,你可以放在密码管理器里,至少你要记这个最基础邮箱的,比如机妙的或者是微软邮箱的。千万不要找那种小的邮箱服务商,一定要找最大的去用式。这个也是很重要的啊。

当然,除了基础账号和第三方账号之外,大家还要注意,有一些账号它属于高危账号,比如银行账号。银行账号,它也是不允许你用第三方方式登录的。

啊,但是呢,因为里头有钱,所以呢,一定要去用一些比较安全的方式,来去保管这个账号。当我们有这么多账号的时候,我们就要来去思考:怎么能够去管理这些账号,怎么能够去巡回这些账号啊,这就是账号管理的一个策略。我们首先想一个最极端的情况啊:我今出去了,所有东西都丢了,手机也没了,电脑也没了,啥也没有,我就能记住,可能少数少数那么几个密码,多了记不住了啊。可能有个别的网址,我通过搜索引擎才能搜到。那么现在,呃,我要怎么去证明我是我啊?这个呢,叫账号巡回过程。我们第一件事是什么?有一个基础的邮箱账号,我们要先能登录到我们的邮箱里去。登录进去了以后,我们就可以一项一项的去找回了。可以给我们的手机运营商去发邮件,可以去手机运营商的平台上,去想办法登录。哪怕说哎,我忘记了啊,我不知道该怎么登进去了,这个你可以用你的邮箱登录。登录完了以后,说我忘记密码了,请把密码给我发回到我的邮箱里去。你可以通过这种方式呢,在一点一点的,等于我从一个最开始的线索,慢慢的把你各种账号再找回来。这个是允许的啊。

那你说,我已经拿到手机了,我不是什么都没有啊,我手里还有手机啊。有手机呢,其实大概率就不会有什么,这个巡回的问题了。因为用手机去进行各种安全认证,还是非常方便的。当然这点要注意啊,一旦丢手机是非常麻烦啊。丢了手机,马上给营业厅打电话要求停机,这个事是必须要去做的。一旦你的手机,可以接收这个短信验证码,黑客就会快速的尝试破解你的账号,这时候,手机的安全就显得尤为重要了。

把你的各种密码都改掉。比如说,我今天想去改我的邮箱密码了。啊,他就会向我的手机发验证码,说:“你真的要改吗?真的要改的话,我就给你改了。”如果你这个时候没有把手机停机掉,那是非常非常危险的。当然,手机发验证码这事也很麻烦。所以呢,我们还有一种东西是什么呢?叫认证器啊,叫微软认证器,谷歌认证器,这是我们现在已经用的最多的两个认证器。这个认证器干嘛使呢?它就是会定期的,一般是一分钟一组啊,给你每一个账号生成一个不同的6位数,有的是8位数的这样的一个数字。那这个东西很有意思啊。比如说,我们家现在大多用的是微软认证器,因为谷歌认证器经常连不上。微软认证器是没有问题的啊。这认证器里头,比如管理了100个账号,他们就每分钟给这100个账号生成一个新的密码。他是这样来工作的。

有了这种密码认证器以后,就可以去设置什么呢?叫双重认证。双重认证就是当你用密码登陆以后,你必须要用你的认证器里边这个啊,随机的码啊,一分钟变一次,这个随机码,再输入一次,他才让你进去。而且为了尽量让你少输几次,你比如说我在同一台电脑上,我反复登录一个邮箱,他是不会要求让我做第二次认证的,除非我做一些比较高危险的动作,比如改密码对吧,他会要求你做第二次认证,否则的话不做的。但是你说我今天突然啊,找了一台新的电脑啊,这个电脑完全是新的,从来没有登录过,我要在这个电脑上,去登录我的邮箱的时候,他就会要求我去做双重认证。而就刚才咱们讲这个案例,就是双重认证的一个实际应用。当你在一台新设备上登录时,系统会要求你进行双重验证,以确保账号安全。

我突然孑然一身,跑到了一个完全陌生的地方。去登录啊,这个呢,会有一定的难度啊。但是呢,在这种情况下,他会给你一些其他的选项。比如说,你的双重认证器现在不在身边了,他问你可不可以接收短信啊。说我也不可以接收短信。有的时候呢,他还会给你一些其他的登录方式。比如说是一些问题啊,我小学老师叫什么啊,我出生在哪个城市啊,或者是我小时候养的第一个宠物叫什么名字。这些问题呢,可以去证明你是你的啊,帮助你去找回账号啊。它也有一些这样的功能。那么,加入了双重认证,加入了微软认证器之后,下一个东西,我们需要去做的呢,就是要使用密码管理器了。

密码管理器是干嘛使的?刚才我们说了,有很多很多密码我们记不住,而且有些密码呢,或者有些账号呢,我们也不想让他用我的,比如谷歌账号去登录。我不是很信任这个网站啊,我不希望用我的谷歌账号登录。我就是要在那去临时注册一个新账号,我不希望他跟我这些实名认证过的账号绑在一起。这个时候就需要大量的新账号。那这种账号怎么处理?就是用密码管理器来处理。还会记录说这个网站是什么,用户名是什么,密码是什么。而且这种密码,通常是由密码管理器现临时生成的,很长很长,各种乱码在一起,就是你记也记不下来的。而且每一次生成都不一样啊,完全随机的。那你说这玩意咋去使用呢?等你下次再需要登录这个网站的时候,密码管理器就打开了嘛。他就直接从这个密码管理器里,把这个密码找出来,直接替你填掉了。

他是这样来空错的。这个密码管理器呢,现在最好用的就是 One Password,就是“1234567”的一啊,这个是阿拉伯数字“一”,后边是“password”。这个是要付费的啊,就是我原来是做的单人付费,一个月大概是两美金啊。现在由我儿子也开始用了吧,我就去做这种家庭付费,就是稍微贵那么一点点。那么他就可以直接使用我的账号,存储他自己的密码,但是他的密码我是看不到的啊。

使用了密码管理器以后啊,这个密码其实是存在云端的啊,因为我们有大量的设备,是移动设备。我虽然网站登录了,但我在移动设备上我还要再重新登录,怎么办呢?啊,他是直接从云端会把这个密码抓下来,在移动设备上重新登录上去啊。他是这样来工作的。那么你说密码都存云端了,这安全吗?挺安全的。它的密码是分三部分来存的:第一部分呢,是密码加密后的这个结果存在云端上;第二部分呢,叫密码管理器密码,这个要求你平时记住,你平时使用密码管理器的时候,他是要求你去输入这个密码的,你不输入的话,他是不会从云端把这个密码取下来,然后解密了交给你的。这个是必须要记住的,是第二个;第三个呢,就是密码管理器通常会有一个叫安全口令的东西,这是一个临时随机生成的,而且很长很长的一段断码啊。这个断码使了,就是当你需要对密码管理器进行一些危险设定的时候,你需要提供这个东西。所以啊,密码管理器,我们会把口令相关的信息,存在三个不同的地方。你比如说第一部分,所有的密码。

由密码管理器加密了以后,存到云端去。第二部,密码管理器的密码我背下来了,记在脑子里,谁都不告诉。而且,它是单独的一个密码,跟其他所有密码都不一样。第三个呢,就是密码管理器,它那个 TOKEN,我可能找了一个笔记软件存下来了。这是啊,密码管理器的工作方式。刚才我们讲的是新用户,我们就按这种方式,先从基础账号开始,能用基础账号认证的,用基础账号认证;其他的,就上密码管理器。这就已经可以工作了。

老旧用户该怎么办?老用户啊,首先,要进行账户整理。你要看看你都有多少账号,找一个本,找一个笔,或者找一个 self 表格,把它都登记下来,我都有多少账号啊?然后呢,你要选择一个密码管理器,要重新去调整,说我这个账号,怎么去进行双重认证或者多重认证,怎么让这些账号之间进行相互的认证。比如,说我这个账号是通过邮件认证的,那个账号通过微信认证的啊。怎么能够让账号之间的关系,把它理顺出来。然后呢,去重新设置这个基础密码。比如说,这是阿里的一些密码,我要重新设啊,设的是比较长一点,以后再去登录的时候呢,我使用密码管理器,或使用这些东西去登录,去啊,都是可以的。

然后,妥善的保管密码管理器的 TOKEN。你要把这个东西存好,这个平时不止啊,只有在极个别的时候才用。这东西什么时候用啊?比如,你换新电脑的时候,他用啊,或者是啊,你需要对密码管理器进行搬家,或者去做一些比较复杂操作的时候,用啊。然后呢,要去设置云同步。大家注意。

密码是同步到云端的。为什么要同步到云端?就是当电脑坏了,我现在有一台新电脑的时候,你不能因为说我这个密码都存电脑里,我拿不出来的事,不行啊。所以必须是在云端,可以在那边去,通过你的密码,通过这个TOKEN,重新把密码管理器里的密码把它再拉出来。

我们现在呢,要做一个简单的小练习。小练习是什么?就是找一台新电脑,找一个新手机,看看我们怎么能够把整个这一套密码都给它运转起来啊。先登录什么?先下载什么?再登录密码管理器,然后再设置微软认证器或者是谷歌认证器,得到所有的这种令牌——就是它这种一分钟变一次那个东西。我们平常管这个东西叫令牌。得到了所有这些东西以后,我们就可以登录所有的账号。这是一个简单练习。

那么进阶练习是什么?进阶练习就是换手机。当你的这样一台手机不用的时候,你现在有一个新手机了,它的密码管理器迁移,它的谷歌或者微软认证器的迁移,这个是稍微要麻烦一些的对吧。我怎么能够迁移过去?怎么能够让新的手机可以收到验证码?新的微信怎么能够登录?怎么进行各种的历史信息备份啊?这是一个稍微进阶一点的练习,就是所有的账号管理。其实核心还是要逻辑清晰。我们的逻辑是:我有身份证啊,我证明我是我;我用身份证办手机号啊,证明这个手机是我;然后我再用这个手机号去确认一个基础邮箱,证明这个邮箱是我;其他的这些基础账号我们就用这些邮箱去注册去了啊,用这个邮箱,用这个手机去注册。再往后,我们就可以通过这些基础的账号,去管理我们所有的其他账号,包括社交媒体、银行账户、云服务等等。这样,无论我们更换设备还是遇到安全问题,都能确保我们的账号安全和信息的连续性。

可能在国内,还有微信和支付宝账号,都是用尽可能相同的手机和邮箱去注册,然后再去设置这个叫密码管理器。这是一个什么样的东西?进到密码管理器去,你最基础的那个邮箱密码是不?进去的只有外面的这些是可以存到密码管理器里去啊。然后密码管理器到云端去同步,可以在不同的设备上直接取到各种各样的密码,而且很安全。

再往后呢,是啊,使用密码管理器管理所有的这种不那么重要的网站。密码相对重要一些,然后呢,你也不介意别人实名追踪到你的网站,就可以使用第三方登录。就是你比如我用微信登录了啊,我用支付宝登录了,我用谷歌登录了啊,用这样的登录方式去使用他们的服务啊。他大概是这样的一个大的逻辑,一层一层一层。

在这个过程中,我们要想清楚说哎,如果我今天彻底的丢失了电脑,丢失了手机,假设我做了个盆啊,我就润了,然后呢到了地方以后,我怎么能够逐步的找回我所有的信息来?这是大家需要去做的,一些预设的训练啊。如果你说呃,我就老老实实在家呆着,每天手机都不离开身边,那就相对来说要简单一些。好啊,这就是我们今天的账号管理第一课。

好,感谢大家收听啊。如果你们家里头也有新大学生,可以让他听一下。好,这期讲到这里。呃,请帮忙点赞,点小铃铛,参加我们disco论群,也欢迎有兴趣,有能力的朋友加入我们的付费频道。再见。

Comments are closed.