前几天我要用会计信息网查资料,顺手打开那个网站准备登录。结果输账号密码时突然想到:这玩意儿到底安不安全?我自己就是干财务的,要是账户被黑可就完蛋了。干脆花半天时间做个实测!
第一步:先查基本防护
打开登录页面就盯着地址栏看,发现网址开头带个小锁图标,悬停显示“连接是安全的”,这意思大概是数据传输有加密。接着故意输错密码试了三次,果然弹验证码了,第四次直接锁账号半小时——这点还挺靠谱,起码能防暴力破解。
第二步:模拟钓鱼攻击
我弄了个假登录页模仿钓鱼网站,把链接发给我同事老张。结果这憨憨真把账号密码填进去了!吓得我赶紧让他改密码。关键发现是什么?假页面做得再真也复刻不了官网那个动态验证码,所以大伙儿记住:凡是不弹验证码直接让你登录的绝对是假网站!
- 输密码前必须确认网址每个字母都对
- 公司名称带“官方”俩字的不一定靠谱
- 突然弹出的登录窗口直接关掉别犹豫
终极骚操作测试
最绝的是我开公共WiFi登录账户,用抓包工具一监测——好家伙!密码居然明文传输!赶紧切回手机流量再试,这回显示密文了。所以千万别在咖啡馆机场这些地方登财务账户,回家连路由器最稳当。
折腾完加了三道保险:给账户绑了手机验证、设了15位大小写混合密码、每月自动更新密码。现在每次登录要收短信码是麻烦点,但想到去年隔壁市有人被转走83万的新闻……还是保命要紧!
还没有评论,来说两句吧...