域名投资三十六计:瞒天过海

2010年10月5日 | 分类: 域名后缀

“瞒天过海”典自《三十六计》:“瞒天过海:备周则意怠;常见则不疑。阴在阳之内,不在阳之对。太阳,太阴。”

瞒天过海:此计说的是域名安全防范,就是说尽可能地避免在公开领域给窃贼提供破解情报。最近1年来频频出现Godaddy以及其他域名注册商的账户被盗事件。不怕贼偷,就怕贼惦记。如果篱笆不扎牢,出现安全隐患,那可是大不必出现的麻烦。这就涉及到社会工程学知识,也就是大家熟知的黑客技术。社会工程学要求黑客不仅需要知道目标的计算机信息,且必须通过信息收集了解目标弱点,即规则弱点、人为弱点,然后开始构造精心的陷阱让目标交出攻击者所想要的信息。社会工程学鼻祖超级黑客凯文·米特尼克在1981年计划突破太平洋贝尔电话公司在洛杉矶的科斯摩中心(COSMOS),就委托同伙化妆成拾荒的老妇人在垃圾堆找各种带字的纸片,而事实上他们借此获得了不少有用的信息,即便攻破科斯摩中心这些“垃圾信息”是不够用的。在域名领域的域名安全防范,有如下建议(主要针对Godaddy账户安全来讨论,其他域名注册商类推):

第一:通过隐私保护Provacy Protection隐藏真实WHOIS信息。Godaddy的此项服务是需要付费的。

第二:通过差异化WHOIS资料和账户资料来伪装。不要将同一个电邮同时用于注册Godaddy账号和Godaddy域名联系方式。这样能避免最关键的邮箱地址的泄露。

第三:通过差异化用于交易域名的账户和储藏域名的账户。建议在Godaddy注册2个账户,一个用于域名交易,一个用于储藏。因为账户信息可能在域名交易时暴露Account ID和邮件地址,而邮箱可能通过其他手段破解(比如是同一密码,比如通过密码找回,或者其他已知手段破解)。这样窃贼就可能获取两方面密码,从而实现将账户内的域名成功转移注册商。如果单独一个用于储藏的Godaddy账户,至少能杜绝透露更多信息。

第四:切忌在第三方网站使用同样的用户名、密码、邮箱地址。尤其是不严谨的开源程序或者其他不可靠的网站。像我这样的非技术流也曾通过蛛丝马迹破解过一个Godaddy账户,而突破口就是对方为自己架设的eNom抢注程序,根本就没有对系统信息设防,然后我用同样的用户名和密码登录了对方的Godaddy账户和Dreamhost账户。

第五:将域名分散储藏。主流的Godaddy、Moniker、ResellerClub、Name、eNom这些域名注册商的服务各有优势。要像松鼠一样,把橡果多藏几个地方,不至于被一锅烩了。