vps交流

[经验] 提醒一个关于你邮箱安全的信息


起因:今天早上steam奔溃,我手机令牌一直刷不出登录信息,就到邮箱里看看

邮箱:我平常都是直接网页登录,从来不用第三方的客户端pc收件,然后在邮箱里赫然看到,有部分邮件是客户端删信,就是前两个月,而且有1个月前一份steam密码找回邮件,我瞬间就明白,邮箱被人爆破了。

反思:但是我网页登录邮箱都是需要手机验证码的,对方没有我手机验证码,按道理是无法登录我邮箱。然后我联想到客户端删信,我大概明白了。盗号者应该就是利用imap的客户端收信漏洞,因为这种登录方式,直接账号密码正确就行,并不需要手机验证码,而我们的密码,老密码早就是在互联网烂大街事情了,不要以为自己邮箱加个2次手机验证就没事,部分邮箱的imap是不需要手机以及其他二次验证的。

以上就是我的看法,我赶紧把所有的邮箱imap都关闭了,但是唯独微软hotmail这类邮箱好像没法关闭imap,懂得还请指点下

修改邮箱密码 IMAP密钥就会失效
没遇到过类似情况,如若真如楼主所讲,那这问题就有些严重了(我也有微软家的邮箱,也用第三户客户端挂着)

rem 发表于 2022-6-22 09:21
修改邮箱密码 IMAP密钥就会失效

但是如果有些人万年不改邮箱密码的,比如我,以为网页登录有2次验证的就安全的,就容易中招了

我bitwarden分类“重要”的东西一般隔几个月就更新一次密码
我也是万年不更新密码的。。。
有次被爆破,早起把能想到能找到的所有密都改为16位字母、数字、符号、大小写,随机生成,这下好了,自己都记不得

乌拉擦 发表于 2022-6-22 09:58
有次被爆破,早起把能想到能找到的所有密都改为16位字母、数字、符号、大小写,随机生成,这下好了,自己都 …

我30位

定期修改密码并不是好策略
随机密码才是正道  N年不改也没事儿
微软的单独设置一个登录账户别名 互联网上注册用的邮件别名不能用来登录