维基百科讨论:账户安全
最新留言:3年前由Jimmy-bot在话题权限及账号安全内发布
 | 本页是以往讨论的存档。请勿编辑本页。若您想发起新讨论或重启现有讨论,请在当前讨论页进行。 |
请注意密码安全
撞库三次登进了两个管理员账号……真想吐槽大家是不是都喜欢一套账号密码打天下。已翻译Wikipedia:账号安全,请各位(尤其拥有管理员权限者)尽快设置独立密码。--人神之间摆哈龙门阵 2015年11月15日 (日) 08:30 (UTC)
- 一套帐密打天下是比较方便,但劝管理员们的要独立或是定期更换,假如管理权限受到盗用,后果不堪设想。--火车书呆 为巴黎袭击事件罹难者致哀 2015年11月15日 (日) 08:56 (UTC)
- 能不能撞出我的?--
贾大师讲大道2015年11月15日 (日) 13:11 (UTC)- 我的密码只有三位。--Antigng(留言) 2015年11月15日 (日) 13:31 (UTC)
- @Antigng:
囧rz...,祝您好运。--街燈電箱150號 开箱维修 抄表 检验证明 2015年11月15日 (日) 17:46 (UTC)
- 我一直想要一个HMAC-TOTP呢。Bluedeck Paris Attacks 2015年11月15日 (日) 18:36 (UTC)
- 是拿什么库撞得?我都记不清自己的密码是哪个了,每次输密码都要试上好几次--百無一用是書生 (☎) 2015年11月16日 (一) 01:53 (UTC)
- 从一些网站被脱出的数据库来看,不少还是把密码明文存储的。具体不好说,免得破坏者蠢蠢欲动。--人神之间摆哈龙门阵 2015年11月16日 (一) 04:32 (UTC)
- 提醒一下那几个管理员吧……Ben.mq 2015年11月18日 (三) 09:23 (UTC)
- 已发私信--人神之间摆哈龙门阵 2015年11月18日 (三) 10:18 (UTC)
- 人神被盗了?(震惊)——路过围观的Sakamotosan 2015年11月19日 (四) 01:53 (UTC)
- 然后阁下自己被盗取了?看来这事情不简单啊。--E8×E8(547) 2015年11月19日 (四) 08:25 (UTC)
- 好像是人神自己去meta申请解除本地管理,然后全域lock了,之后Addis根据在这个本地申请CU后本地block,现在meta解lock了,难道这样来测试账号被盗?这剧本有点看懵了。——路过围观的Sakamotosan 2015年11月19日 (四) 08:42 (UTC)
- 好像发起这个讨论串的就是盗号者冒用的账号....--百無一用是書生 (☎) 2015年11月19日 (四) 08:39 (UTC)
- 这也撞中……——路过围观的Sakamotosan 2015年11月19日 (四) 08:42 (UTC)
- 好复杂...- 和平、奋斗、救地球!(留言)自然条目提升地质与灭绝专题于 2015年11月19日 (四) 08:58 (UTC)
- 也就是说擅自解封User:Makecat的不是人神?--Antigng(留言) 2015年11月19日 (四) 09:02 (UTC)
- 好复杂...- 和平、奋斗、救地球!(留言)自然条目提升地质与灭绝专题于 2015年11月19日 (四) 08:58 (UTC)
- 这也撞中……——路过围观的Sakamotosan 2015年11月19日 (四) 08:42 (UTC)
- 然后阁下自己被盗取了?看来这事情不简单啊。--E8×E8(547) 2015年11月19日 (四) 08:25 (UTC)
- 人神被盗了?(震惊)——路过围观的Sakamotosan 2015年11月19日 (四) 01:53 (UTC)
- 已发私信--人神之间摆哈龙门阵 2015年11月18日 (三) 10:18 (UTC)
- 提醒一下那几个管理员吧……Ben.mq 2015年11月18日 (三) 09:23 (UTC)
- 从一些网站被脱出的数据库来看,不少还是把密码明文存储的。具体不好说,免得破坏者蠢蠢欲动。--人神之间摆哈龙门阵 2015年11月16日 (一) 04:32 (UTC)
- @Antigng:
- 我的密码只有三位。--Antigng(留言) 2015年11月15日 (日) 13:31 (UTC)
- 能不能撞出我的?--
- 我(+)支持建立这个页面。给各位密码设置的建议:密码最好要有大写字母、小写字母以及数字,有拉丁字母更佳,密码最好不得少于9位数(这是苹果账号的标准)。--Shwangtianyuan正义必胜!和平必胜!人民必胜! 请严格遵守中国国旗模板使用规则 2015年11月19日 (四) 08:42 (UTC)
- 恭喜人神以自己的账号的经历述说了《论强壮密码的重要性》,多·谢·指·导。——路过围观的Sakamotosan 2015年11月19日 (四) 08:45 (UTC)
- 有些讨论串回应和某些人的活动有点异常,像是 Seedermaster事件第二,在大家面前玩角色扮演的感觉。人神之间被盗以后,做了一些事,包含一些管理员才熟练的操作,从结果来看,我觉得Makecat的嫌疑非常大。--Jasonzhuocn(留言) 2015年11月19日 (四) 09:11 (UTC)
- 看了 Seedermaster事件,觉得事情越来越复杂了
晕...这次有CU吗?- 和平、奋斗、救地球!(留言)自然条目提升地质与灭绝专题于 2015年11月19日 (四) 14:04 (UTC)
- 问Jimmy Xu。--Antigng(留言) 2015年11月19日 (四) 14:06 (UTC)
- 说makecat做的,就有些过于“自由心证”了点吧?mediawiki又不是维基百科一家人用的,你给我个管理员账号,我也可以立马用得滚瓜烂熟。--Miao233(留言) 2015年11月21日 (六) 13:46 (UTC)
- 看了 Seedermaster事件,觉得事情越来越复杂了
- 请参阅日志、用户贡献、元维基--Jasonzhuocn(留言) 2015年11月19日 (四) 09:16 (UTC)
- @cwek:好像是发起这个讨论串的人神其实盗号者....在meta请求解除管理员权限的也是盗号者--百無一用是書生 (☎) 2015年11月19日 (四) 12:39 (UTC)
- 既然说有两个,那可能手上还有一个,这个盗号者可能是出于善意的提醒。但在meta的举动就不合逻辑了。--Jasonzhuocn(留言) 2015年11月19日 (四) 12:54 (UTC)
- 此时显示出,用SHA-512验明正身挺重要的……--Bowleerin(留言) 2015年11月19日 (四) 13:38 (UTC)
- 真是复杂 囧rz...,所有举动都不合逻辑呀。--火车书呆 为巴黎袭击事件罹难者致哀 2015年11月19日 (四) 13:43 (UTC)
- 真是复杂
- 此时显示出,用SHA-512验明正身挺重要的……--Bowleerin(留言) 2015年11月19日 (四) 13:38 (UTC)
- 既然说有两个,那可能手上还有一个,这个盗号者可能是出于善意的提醒。但在meta的举动就不合逻辑了。--Jasonzhuocn(留言) 2015年11月19日 (四) 12:54 (UTC)
- @cwek:好像是发起这个讨论串的人神其实盗号者....在meta请求解除管理员权限的也是盗号者--百無一用是書生 (☎) 2015年11月19日 (四) 12:39 (UTC)
- 经查,账号User:A1505342
已确认为盗号者所用傀儡。--Kegns(留言) 2015年11月19日 (四) 17:31 (UTC)
- 多谢各位这几天的关注,我已经在管理员邮件列表声明拿回了此账户的所有权。特此也在互助客栈说明一下,我的编辑中所有“2015年11月10日 (二) 22:15 ”之后以及此编辑之前的更改均为盗号者所为,对此造成的不便请大家谅解。也希望各位用户以后更加注意自己的账户安全。--人神之间摆哈龙门阵 2015年11月19日 (四) 19:53 (UTC)
- 因为中国国内互联网生态的问题,大量网站没有使用HTTPS加密来保护账号注册及登录的验证流程,导致极易被监听;存储密码时也不用加盐的慢速hash算法而使用明文或仅使用简单hash算法,导致数据库外泄后用户密码极易被破解。这些网站泄出的信息进而会被用于建设社工库以破解用户的他站账号。因此,恳请各位勿在重要账号上使用单一密码或有规则密码(如单一密码加前缀或后缀),而应使用安全的随机密码生成工具生成16位以上包含各式字符的密码;如网站支持还应启用二步验证。业界因为密码被猜解导致的惨痛教训数不胜数,不要为图一时方便让自己成为下一案例。--菲菇@维基食用菌协会 2015年11月19日 (四) 21:40 (UTC)
- 顺便对二步验证发个牢骚,我的google帐号用手机app开了二步验证,前几天手机丢了,想当场进android device manager看需要登录google帐号,但用来登录的手机却不在我手上了。只好回到选了“以后不再验证”的电脑前之后再看,顺便把二步验证关了……Liangent(留言) 2015年11月19日 (四) 22:36 (UTC)
- User_talk:Admiral_Alvin--Antigng(留言) 2015年11月20日 (五) 02:38 (UTC)
我在想,会不会人神之间一念之差想解封Makecat(或者被收买),然后被管理员们强烈批评(参见讨论页),只好自称被盗号,管理员们给个面子一起演戏?他不是以前也解封过苹果派嘛?--WPISIL(留言) 2015年11月21日 (六) 05:42 (UTC)
- 阁下刚加入维基就知道这些往事,不简单。--203.67.5.191(留言) 2015年11月21日 (六) 06:04 (UTC)
- 说不定他是潜水很久了,至于自导自演,再观察。--火车书呆 为巴黎袭击事件罹难者致哀 2015年11月21日 (六) 08:19 (UTC)
- 不太可能是新用户,马甲吧。--123.152.43.198(留言) 2015年11月21日 (六) 09:00 (UTC)
- 搞不好人神跟Makecat是同一位。(纯属猜测)--Engle跃【✉✈㍿♛№】 2015年11月23日 (一) 03:32 (UTC)
- 那就跟饭桶君某个问题非常吻合了(见此页面中的第28个问题)。--火车书呆 为巴黎袭击事件罹难者致哀 2015年11月23日 (一) 10:17 (UTC)
- 好复杂的情节...Wetrace 欢迎参与WP:人权专题(留言) 2015年11月25日 (三) 10:42 (UTC)
- 那就跟饭桶君某个问题非常吻合了(见此页面中的第28个问题)。--火车书呆 为巴黎袭击事件罹难者致哀 2015年11月23日 (一) 10:17 (UTC)
- 搞不好人神跟Makecat是同一位。(纯属猜测)--Engle跃【✉✈㍿♛№】 2015年11月23日 (一) 03:32 (UTC)
- 不太可能是新用户,马甲吧。--123.152.43.198(留言) 2015年11月21日 (六) 09:00 (UTC)
- 说不定他是潜水很久了,至于自导自演,再观察。--火车书呆 为巴黎袭击事件罹难者致哀 2015年11月21日 (六) 08:19 (UTC)
- 我的维基百科密码目前是独立密码,在当管理员之前不是来着--燃玉 留言 勇踏前人未至之境! 2015年12月5日 (六) 15:26 (UTC)
各位听好,Miao233说给他个管理员账号,也能立马用得滚瓜烂熟。我来说说并非如此,盗号者一定是有经验的人。盗号之后,操纵者在短短几天内十分熟练地进行了一些操作:例如知道在哪里查看待定的快速删除候选,也非常熟悉中文维基百科的各项快速删除准则,提交了许多快速删除,经手过下列快删:G15孤立页面、G11广告、A3重复条目、A1无定义短条目、O1用户请求删除子页、F6无使用的版权档案、R3错误重定向,所有的选项都是正确的,这一定是经验老道的巡查员以上老手。也非常熟练的关闭存废讨论,甚至找出积压存废讨论进行处理。甚至进阶的管理行为,包含操作白纸保护两条,在在都显示出,这一次的盗号者是一位两三年内曾经或现在担任过本地管理员,且在任期间是非常勤快、经验老到的老手。最不寻常之处,就是模仿人神之间过去曾经解封用户的口吻,解封了曾经担任管理员又操纵过大量傀儡的makecat。别以为这些事情很简单,没经验的人做不出这种程度的。--Jasonzhuocn(邀请台湾人加入 Wikimedia Taiwan)2015年12月15日 (二) 06:22 (UTC)
提议:将维基百科:账户安全升为指引
本讨论已经结束。请不要对这个存档做任何编辑。
如上面提议Draft:密码方针那样。我想把帐户安全升为指引。不过,我也有个疑问:本地管理员真的不能使用弱密码吗?——꧁༺星耀晨曦༻꧂(留言) 2017年8月17日 (四) 07:15 (UTC)
- 只是额外要求至少8位(无论是哪个维基,只要是管理员就有限制),所以设成“7355608.”也能通过。--逆袭的天邪鬼(留言) 2017年8月18日 (五) 12:05 (UTC)
- 这本身不就是指引了嘛 囧rz...? --Z7504(留言) 2017年8月17日 (四) 18:08 (UTC)
这个嘛..其实这个版本是元维基的方针,里面大部分内容一年前已被英文区那堆人通过了。但元维基上当然只有英文版。--Temp3600(留言) 2017年8月17日 (四) 18:33 (UTC)看错了另一页。--Temp3600(留言) 2017年8月18日 (五) 17:17 (UTC)- 。。目前只是信息页啊,还不是指引。——꧁༺星耀晨曦༻꧂(留言) 2017年8月18日 (五) 05:27 (UTC)
- (+)支持:请别再问为什么要支持了 囧rz...,上面讨论--Z7504(留言) 2017年8月18日 (五) 11:09 (UTC)
- 提升为方针都没有实际意义,仍是靠用户自行留意,不太可能强制执行,用户密码设定使用的字元,理应其他用户都看不到,不会有其他用户包括管理员能够善意提醒改密码,只能设立机制要用户设定特定的密码及强制定期改密码,但这种执行方式并不需要指引支持。至于预防其他用户可能泄露密码的个人行为,现实是连各大银行都不能预防及控制用户可能会意外泄露的行为,更何况是维基百科。--Thomas.Lu(留言) 2017年8月18日 (五) 16:44 (UTC)
- 不太可能强制执行不等于无实际意义,立此为指引,正正就可以起到警醒作用。如果社群认为有必要亦可以通过提案,要求技术上实行定期强制更改密码。所以并非无实际作用。提醒亦是一个作用。教导用户亦是一个作用。--J.Wong 2017年8月18日 (五) 16:53 (UTC)
- 建议把里面钦定语气比较强的字眼。比如“必须”什么之类的稍微改一改。改过后应该问题不大。--Techyan(留言) 2017年8月19日 (六) 02:16 (UTC)
- (+)支持,是好东西。虽然我顶多就 correct+horse-battery@staple8 了……——Artoria2e5编 讨论要完整,回复请用ping。 2017年8月20日 (日) 11:22 (UTC)
- (+)支持,账户安全非常重要,有必要作为指引以让用户重视其重要性。 4279计算过程 2017年8月20日 (日) 12:28 (UTC)
- (+)支持。--B dash(留言) 2017年8月27日 (日) 02:27 (UTC)
现已开始公告。7日后,如无其它反对意见,则维基百科:账户安全成为指引。——꧁༺星耀晨曦༻꧂(留言) 2017年8月29日 (二) 04:16 (UTC)
讨论通过,该页面已成为指引。--Antigng(留言) 2017年9月5日 (二) 01:38 (UTC)
修改WP:账户安全指引
本讨论已经结束。请不要对这个存档做任何编辑。
|
|
- 原因:并不是太常见。--【和平至上】💬📝 2018年3月4日 (日) 23:51 (UTC)
- @Wong128hk:应该雪球,浪费社群精力的提案。--YFdyh000(留言) 2018年3月5日 (一) 04:53 (UTC)
- 除非本人见到社群有对此类修订从宽之势,不然唯有从严处理。事关早前那个补回《封禁方针》误删也可以类似于此修订,提出来根本是浪费精力,但最终如何轩然大波。为免再来一次,一切从严处理。至少可以维持方针指引系统稳定。--J.Wong 2018年3月5日 (一) 05:08 (UTC)
- 直接雪球吧,因为甚至后面的清单都没有这一“常见密码”。但因有用户认为应提请至此,那么直接公示七天,如无反对意见,将视为通过。--【和平至上】💬📝 2018年3月5日 (一) 09:19 (UTC)
- 政策简报中的若干“小更改”不是“从宽之势”吗。所谓“维持方针指引系统稳定”缺乏价值,如果所述方针并不合社群所行,保持稳定只是假的稳定和适用。您可以考虑不回退而只通报公示,如果社群并不认同修改,修改后的方针也并无效力。--YFdyh000(留言) 2018年3月5日 (一) 12:45 (UTC)
- 个人并不认为方针及指引修订应该使用雪球,因为阁下永远无法预知会否有人反对,就算是最简单提案。至于是否代为提案,当然可以考虑,不过修改者还是应该自行承担提案责任。如果“维持方针指引系统稳定”是没价值,那应该废除此页,容许大家各有各改呀。--J.Wong 2018年3月5日 (一) 16:33 (UTC)
- 我觉得这类修改哪怕不能雪球,缩短议程时间也是可行的(比如从传统的7天变成3天)。——꧁༺星耀晨曦༻꧂(留言) 2018年3月6日 (二) 04:33 (UTC)
- 缩短时间意义不大,放在这里约2周才会自动存档。所谓“公示”通过后出现的反对意见,还是要同等对待的,维基人无义务经常翻看客栈。已或未公示就修改的条文是否合理有效,要看社群接受对条文本身的接受度,而不是流程是否达标等。目前的x天公示并无明确共识,只是暂时默认。--YFdyh000(留言) 2018年3月6日 (二) 13:02 (UTC)
- 阁下这样说不无道理,但这个要说得通,得要有几个前提。但抱歉,中文维基没有。所以若然正式走完“暂时默认”程序以后,还要看社群接受度,那就会是死循环。--J.Wong 2018年3月7日 (三) 02:49 (UTC)
- 缩短时间意义不大,放在这里约2周才会自动存档。所谓“公示”通过后出现的反对意见,还是要同等对待的,维基人无义务经常翻看客栈。已或未公示就修改的条文是否合理有效,要看社群接受对条文本身的接受度,而不是流程是否达标等。目前的x天公示并无明确共识,只是暂时默认。--YFdyh000(留言) 2018年3月6日 (二) 13:02 (UTC)
- 我觉得这类修改哪怕不能雪球,缩短议程时间也是可行的(比如从传统的7天变成3天)。——꧁༺星耀晨曦༻꧂(留言) 2018年3月6日 (二) 04:33 (UTC)
- 这是没有密码的拼音,不知道几年前的互联网梗的样子,但i改成1就不知道为何了。--Zest 2018年3月6日 (二) 04:46 (UTC)
- 我之前主持的“设置topic名字空间的别名”议题[1],等讨论出大概的情况,就公示1周;然后出现了不同的意见,但经过讨论维持之前的共识,我就只留了3天的缓冲期。——꧁༺星耀晨曦༻꧂(留言) 2018年3月7日 (三) 13:19 (UTC)
- 我知道是拼音,但是不是很常见啊……尤其i改成1更是不明所以。--【和平至上】💬📝 2018年3月6日 (二) 11:30 (UTC)
- i改成1是加强强度吧,很难暴力猜解了,更加不是常用密码。--YFdyh000(留言) 2018年3月6日 (二) 12:46 (UTC)
- 但其实后面所载之“更详细的清单参见维基百科:常见密码/10000。”中也没有此密码,可见是事实性的错误,对于此类的错误,也要经一般程序,乃属官僚主义的表现,且显得多余。--【和平至上】💬📝 2018年3月6日 (二) 11:37 (UTC)
- Artoria2e5君︰请问有何意见?--J.Wong 2018年3月6日 (二) 12:21 (UTC)
- 好玩? 囧rz……,但请阁下搜寻“meiyoum1ma”,不论是Google或百度,均不见“meiyoum1ma”是一常用密码。而且我对“留着无害又好玩”这一态度有所保留。--【和平至上】💬📝 2018年3月7日 (三) 09:23 (UTC)
- 您要觉得这是问题,那就用那个笑话原版的meiyoumima呗。别人给坏密码例子的时候,password变成p@ssw0rd也都有呢。——Artoria2e5编 讨论要完整,回复请用ping。 2018年3月9日 (五) 16:38 (UTC)
- @Artoria2e5:但“meiyoumima”其实也不是太常用(难道阁下觉得这一密码的常用程度与123456、password相若?)。--【和平至上】💬📝 2018年3月9日 (五) 16:58 (UTC)
- 您要觉得这是问题,那就用那个笑话原版的meiyoumima呗。别人给坏密码例子的时候,password变成p@ssw0rd也都有呢。——Artoria2e5编 讨论要完整,回复请用ping。 2018年3月9日 (五) 16:38 (UTC)
- 您若抱着好玩的态度,我们来加入“我的密码”,“没有密码”,“这是密码”吧。[开玩笑的]--YFdyh000(留言) 2018年3月7日 (三) 12:50 (UTC)
- 好玩?
- Artoria2e5君︰尚有否其他回应?--J.Wong 2018年3月9日 (五) 07:26 (UTC)
已没有新的反对意见。--【和平至上】💬📝 2018年3月16日 (五) 14:18 (UTC)
权限及账号安全
Wikipedia:账户安全#高权限用户建议加入WP:界面管理员,因为可能修改JS做网络钓鱼、挖矿等,包括全局或用户JS。请各位讨论是否保留其中的管理员,被盗可能严重扰乱页面或讨论,但操作均可查、可撤回。Wikipedia:管理员#设计并修订维基界面是否已过时而应移除。--YFdyh000(留言) 2021年2月12日 (五) 10:42 (UTC)
- 支持;应该保留,因为是“高权限用户”,管理员是高权限用户;"设计并修订维基界面"没有过时,现在管理员是可以编辑那三处的。--安忆Talk 2021年2月12日 (五) 10:47 (UTC)
- 看来是我误解,看来管理员也需要保留在内,修改界面消息也能相应地大面积钓鱼。--YFdyh000(留言) 2021年2月12日 (五) 10:58 (UTC)
- 建议直接雪球通过,事实修订-- Sunny00217 2021年2月15日 (一) 08:16 (UTC)