域名安全问题是一个老话常谈但却要不断提醒的事情,近几年来,域名被盗的情况也越发常见,未雨绸缪必不可少,域名防盗的策略一定要学起来。
首先,我们看一个案例:
某亚马逊服务器的DNS记录被篡改,紧接着到MEW网站的一部分访问(比如,基于HTTPS的Web请求)被重定向到了一个伪造的钓鱼网站,这个伪造站点看上去与MEW完全一样。值得注意的是,此钓鱼网站使用了一个自签名TLS证书,而主流的浏览器会将此证书识别为不安全,并会给出弹窗警告。然而,用户很可能会忽略这个警告选择继续输入自己账号对应的密钥信息,而攻击者能够立即获取到这些信息,并迅速将账号对应的以太币余额转走。
我们该如何防止域名被盗呢?有以下几点:
一、选择靠谱平台
不法份子利用和正规域名平台相似的域名,做一个和正规域名平台相似的登录页面,再通过各种方式让域名持有人打开这个钓鱼的页面,并套取用户名和密码,从而达到非法登录用户帐号盗取域名的目的。所以一定要找靠谱的正规的平台,靠谱的平台方便域名注册资料的修改,即使不幸选择了一个垃圾邮箱,当邮箱失效时,还可以通过管理平台进行域名过户,将域名资料可以及时变更;而且正规平台本身的安全性要比小平台要高。
二、密码一定要复杂并且分类管理
相信每个上网的朋友都会在各类平台注册有多达十几个甚至几十个的帐号,而为了方便管理和记忆,很可能多个平台使用相同的邮箱和密码,一旦其中一个平台的帐号密码被泄漏,则同邮箱同密码的其他平台也将跟着遭殃。而且密码的策略也是众所周知的事情,各种账户的密码,只要跟钱这个家伙相关的,我们都要让密码更长更复杂,它才能更安全。密码最好是分类管理,与钱有关的要长、复杂且不要与其他密码相关联,不然一个出事,殃及所有。密码定期更换也很有必要。
三、形成良好的域名安全意识及习惯
很多域名被盗事件发生,都是缘于粗心大意、安全意识薄弱,使用安全可靠的电子邮局提供的邮箱服务,例如网易邮箱等,不建议使用小网站的邮箱服务。因为邮箱密码与账户密码一样重要,选择邮箱时如果用的雅虎的邮箱,你感受一下这滋味。域名资料方面,留的联系电话一定一定一定要是真实有效,联系的到你的,要让那种域名被盗两年才发现的事情发生了。最最重要的是不要把帐号密码告诉他人,或者让他人操作管理自己的帐号。
四、建立域名数据库
之前有朋友发朋友圈说自己的域名过期了忘记续费,只好域名赎回,域名赎回这个价格可以再供他续费20个域名,啊~多么痛的领悟。所以建立域名数据库也是很有必要的。现在的平台越来越多,很多朋友手里的域名肯定不止在一个平台上,建立域名数据库,将手上所有的域名及相关资料存放在一起,可以对自己的域名了如指掌。
五、选择国内的、可靠的域名管理平台
近两年的域名被盗案件,大多发生在国外域名管理平台,以gd和enom居多,由于语言和地域的原因,调查和追回的难度都非常大。所以选择身边的安全的域名管理平台非常重要,选择自己身边安全的域名管理平台也更加安全。
六、全程https
在进入网站时,务必在“全程https(即网络安全协议)”的网络环境下操作,才能确保每个流程的安全性。不仅是登录邮箱留意是否有https标识,在登录任何要输入账户密码的网站时都要留意是否全程都有https的标识。
七、不在公共wifi登录账户
别连不可信的公共Wi-Fi(公共VPN、代理服务器等也算)、别在不可信的网络环境下进行敏感操作(比如登录域名账户、各类消费类软件),不要无视浏览器的证书错误提醒、不要乱装安全证书,否则HTTPS也救不了。
总结:
任何的安全都是相对的,做好各种防范,把风险降到最低,因为保护好域名就是在保护自己的钱。也希望以上的建议对大家有所帮助。
来源:世界工厂网 企业线上生态学院编辑整理
网友评论