(1)类似GoDaddy这样的安全机制对于域名的保护非常脆弱,一旦域名管理帐户被盗或域名的注册人邮箱被盗,域名都将失去任何保护。我认为最少应该在更换域名邮箱、过户、转出、修改DNS等重要操作时再加一道密码验证,而且这个密码应该不能与域名管理帐户的登陆密码相同。另外重要操作发生后,应该给密保邮箱或域名注册人邮箱发送二次验证邮件,验证过后才能修改生效,而不是在修改之后才发封通知邮件。不过这些安全措施还是无法彻底防止域名被盗,一旦邮箱被盗这些措施都将失去作用。因此最有效的措施可能是与手机绑定,每个重要操作前系统都给绑定的手机发送验证码,只有输入这个验证码才能继续操作。这样的话域名就会安全得多,毕竟很少会有黑客盗取了对方邮箱或帐户后还能偷到对方手机。国外的域名注册商好象没听说哪家可以绑定中国手机的,而国内的话我现在使用的易名可以绑定手机,而且过户转出操作都需要手机验证码,因此我认为从防止域名被盗的角度上讲目前国内的注册商反而比国外更安全。
(2)域名的注册人名称和注册人邮箱是域名拥有权的重要依据,最好填真实的信息,如果填虚假的信息,一旦域名被盗将很难拿回。很多人担心泄露信息而填写假的信息,如果是这样的话不如用一个至亲的名字,这样就算被盗还是可以拿到真实的证件去申诉回域名。
(3)很多人的域名注册人邮箱就是用该域名本身创建的邮件地址,然后该域名却不创建邮件服务器,以为这样对方就永远拿不到域名的注册人邮箱,从而保证域名无法被转出。其实不然,一旦域名管理帐户被盗,域名的所有信息就都可以改掉,到那时由于无法用域名注册邮箱来进行申诉,便很难拿回域名。而且由于该域名未创建邮件服务器,当域名或帐户信息被修改时也收不到通知。还有的用自己的另一个域名的邮箱地址,例如的域名注册邮箱是,然后的域名注册邮箱又是,这样一旦其中一个域名被盗了,将导致另一个域名也一起被盗。
(4)基于上面那条,我认为还是用第3方的邮箱比较好,但是邮箱一定要绑定手机,开通收件通知功能,邮箱的注册资料最好也是真实的,这样一旦邮箱被盗,可以通过证件先将邮箱取回。
(5)开通域名信息保护功能可以让黑客不知道域名的注册人邮箱,但是并不能保证域名不被盗。-hibo8就是一个活生生的例子,他们的域名信息自2010年开始就上了保护,可是最终还是被盗,然后被转出注册商。我猜测可能也是因为域名管理帐户被盗而导致这样的结果。而开通了保护之后,万一被盗就无法取得whois历史记录,来证明被盗之前该域名的信息是自己的,因此有利有弊。
(6)定期检查域名管理帐户和域名信息,域名管理帐户的密码要经常更换,且不能与其他密码相同。有人说只要每隔2个月把域名的注册人地址改一下,就可以防止域名被盗,其实不然,首先域名注册人地址改变,不会触发60天禁止转出规则,一定要改注册人名称或注册人邮箱。其次,就算60天内不能转出,但是黑客依然可以在注册商内部过户,而域名的控制权依赖于注册商网站上的域名管理帐户。