从 Xcode 事件,我们能得到什么教训?(外一篇)

事实证明,再优秀的密码设计被从内部攻破的时候都是一钱不值。我原本的密码规则充分体现了安全的设计思路——大小写字母、符号、数字、长度无所不至,乃至 Apple ID 的密码都是专一不重复的,然并卵。
因为这个事件,我被迫改了三个地方密码,因为我虽然是专一密码,但它们都是用浅显的规则定义的,知道一个就能猜出另外地方的,所以我重新定义了密码规则,采用不那么浅显的规则来定义,至少可以保证不会那么容易一破全破。

另外,再安全的密码都顶不上二次验证安全。
我的 Google 账户、微软账户、苹果账户、Evernote、Lastpass 等重要账户全部开了二次验证,而且除了苹果采用的是基于自家生态环境的云服务(免安装软件,其实也挺方便的)以外,其余企业都是采用业界通行的 TOTP 协议(当然,所有家都支持短信验证)。Facebook、Twitter 等世界知名企业也都采用 TOTP 协议进行二次验证。
而中国著名 IT 企业代表的 BAT,要么没有二次验证(BT),要么自己开发一个很恶心的专有协议进行二次验证(A)。我只能说:
52447

————– 外一篇 ————–
以前买的索尼 CP-F2L 移动电源给家人拿去用了,本来想要不要再买一个。各家严谨的对比评测一直向我们证明着索尼移动电源是无可争议的业界第一品牌这个信息,所以我就看看现在还有什么型号可买。

结果,各大电商处全部断货。
sonybattery

有的电商处有新品 CP-V6,价钱也不贵,看起来是不错的选择,但是仔细研究官方介绍,可以看到 CP-V6 默默地拿掉了 1000 次循环的保证。
CP-v5

cp-v6

显而易见,新品 CP-V6 采用了更低规格的电芯。而且,在日本索尼官网根本没有这个 CP-V6 出售,所有在本土销售的索尼移动电源全部有 1000 次循环保证。
恭喜小米又打赢了一场劣币驱逐良币的战役。

发表评论

电子邮件地址不会被公开。 必填项已用*标注