维基百科讨论:账户安全

Jimmy-bot在话题“权限及账号安全”中的最新留言:3年前

请注意密码安全

撞库三次登进了两个管理员账号……真想吐槽大家是不是都喜欢一套账号密码打天下。已翻译Wikipedia:账号安全,请各位(尤其拥有管理员权限者)尽快设置独立密码。--人神之间摆哈龙门阵 2015年11月15日 (日) 08:30 (UTC)

一套帐密打天下是比较方便,但劝管理员们的要独立或是定期更换,假如管理权限受到盗用,后果不堪设想。--火车书呆 为巴黎袭击事件罹难者致哀 2015年11月15日 (日) 08:56 (UTC)
能不能撞出我的?--贾大师讲大道 2015年11月15日 (日) 13:11 (UTC)
我的密码只有三位。--Antigng留言2015年11月15日 (日) 13:31 (UTC)
@Antigng  囧rz...,祝您好运。--街燈電箱150號 开箱维修 抄表 检验证明 2015年11月15日 (日) 17:46 (UTC)
我一直想要一个HMAC-TOTP呢。Bluedeck Paris Attacks 2015年11月15日 (日) 18:36 (UTC)
是拿什么库撞得?我都记不清自己的密码是哪个了,每次输密码都要试上好几次--百無一用是書生 () 2015年11月16日 (一) 01:53 (UTC)
从一些网站被脱出的数据库来看,不少还是把密码明文存储的。具体不好说,免得破坏者蠢蠢欲动。--人神之间摆哈龙门阵 2015年11月16日 (一) 04:32 (UTC)
提醒一下那几个管理员吧……Ben.mq 2015年11月18日 (三) 09:23 (UTC)
已发私信--人神之间摆哈龙门阵 2015年11月18日 (三) 10:18 (UTC)
人神被盗了?(震惊)——路过围观的Sakamotosan 2015年11月19日 (四) 01:53 (UTC)
然后阁下自己被盗取了?看来这事情不简单啊。--E8×E85472015年11月19日 (四) 08:25 (UTC)
好像是人神自己去meta申请解除本地管理,然后全域lock了,之后Addis根据在这个本地申请CU后本地block,现在meta解lock了,难道这样来测试账号被盗?这剧本有点看懵了。——路过围观的Sakamotosan 2015年11月19日 (四) 08:42 (UTC)
好像发起这个讨论串的就是盗号者冒用的账号....--百無一用是書生 () 2015年11月19日 (四) 08:39 (UTC)
这也撞中……——路过围观的Sakamotosan 2015年11月19日 (四) 08:42 (UTC)
好复杂...- 和平、奋斗、救地球!(留言)自然条目提升地质灭绝专题2015年11月19日 (四) 08:58 (UTC)
也就是说擅自解封User:Makecat的不是人神?--Antigng留言2015年11月19日 (四) 09:02 (UTC)
(+)支持建立这个页面。给各位密码设置的建议:密码最好要有大写字母、小写字母以及数字,有拉丁字母更佳,密码最好不得少于9位数(这是苹果账号的标准)。--Shwangtianyuan正义必胜!和平必胜!人民必胜! 请严格遵守中国国旗模板使用规则 2015年11月19日 (四) 08:42 (UTC)
恭喜人神以自己的账号的经历述说了《论强壮密码的重要性》,多·谢·指·导。——路过围观的Sakamotosan 2015年11月19日 (四) 08:45 (UTC)
 谢谢你啦!--Shwangtianyuan正义必胜!和平必胜!人民必胜! 请严格遵守中国国旗模板使用规则 2015年11月19日 (四) 08:48 (UTC)
@cwek:好像是发起这个讨论串的人神其实盗号者....在meta请求解除管理员权限的也是盗号者--百無一用是書生 () 2015年11月19日 (四) 12:39 (UTC)
既然说有两个,那可能手上还有一个,这个盗号者可能是出于善意的提醒。但在meta的举动就不合逻辑了。--Jasonzhuocn留言2015年11月19日 (四) 12:54 (UTC)
此时显示出,用SHA-512验明正身挺重要的……--Bowleerin留言2015年11月19日 (四) 13:38 (UTC)
真是复杂  囧rz...,所有举动都不合逻辑呀。--火车书呆 为巴黎袭击事件罹难者致哀 2015年11月19日 (四) 13:43 (UTC)
  • 多谢各位这几天的关注,我已经在管理员邮件列表声明拿回了此账户的所有权。特此也在互助客栈说明一下,我的编辑中所有“2015年11月10日 (二) 22:15 ”之后以及此编辑之前的更改均为盗号者所为,对此造成的不便请大家谅解。也希望各位用户以后更加注意自己的账户安全。--人神之间摆哈龙门阵 2015年11月19日 (四) 19:53 (UTC)
  • 因为中国国内互联网生态的问题,大量网站没有使用HTTPS加密来保护账号注册及登录的验证流程,导致极易被监听;存储密码时也不用加盐的慢速hash算法而使用明文或仅使用简单hash算法,导致数据库外泄后用户密码极易被破解。这些网站泄出的信息进而会被用于建设社工库以破解用户的他站账号。因此,恳请各位勿在重要账号上使用单一密码或有规则密码(如单一密码加前缀或后缀),而应使用安全的随机密码生成工具生成16位以上包含各式字符的密码;如网站支持还应启用二步验证。业界因为密码被猜解导致的惨痛教训数不胜数,不要为图一时方便让自己成为下一案例。--菲菇维基食用菌协会 2015年11月19日 (四) 21:40 (UTC)
    • 顺便对二步验证发个牢骚,我的google帐号用手机app开了二步验证,前几天手机丢了,想当场进android device manager看需要登录google帐号,但用来登录的手机却不在我手上了。只好回到选了“以后不再验证”的电脑前之后再看,顺便把二步验证关了……Liangent留言 2015年11月19日 (四) 22:36 (UTC)
  • User_talk:Admiral_Alvin--Antigng留言2015年11月20日 (五) 02:38 (UTC)

我在想,会不会人神之间一念之差想解封Makecat(或者被收买),然后被管理员们强烈批评(参见讨论页),只好自称被盗号,管理员们给个面子一起演戏?他不是以前也解封过苹果派嘛?--WPISIL留言2015年11月21日 (六) 05:42 (UTC)

阁下刚加入维基就知道这些往事,不简单。--203.67.5.191留言2015年11月21日 (六) 06:04 (UTC)
说不定他是潜水很久了,至于自导自演,再观察。--火车书呆 为巴黎袭击事件罹难者致哀 2015年11月21日 (六) 08:19 (UTC)
不太可能是新用户,马甲吧。--123.152.43.198留言2015年11月21日 (六) 09:00 (UTC)
搞不好人神跟Makecat是同一位。(纯属猜测)--Engle跃】 2015年11月23日 (一) 03:32 (UTC)
那就跟饭桶君某个问题非常吻合了(见此页面中的第28个问题)。--火车书呆 为巴黎袭击事件罹难者致哀 2015年11月23日 (一) 10:17 (UTC)
好复杂的情节...Wetrace 欢迎参与WP:人权专题留言2015年11月25日 (三) 10:42 (UTC)
我的维基百科密码目前是独立密码,在当管理员之前不是来着--燃玉 留言 勇踏前人未至之境! 2015年12月5日 (六) 15:26 (UTC)

各位听好,Miao233说给他个管理员账号,也能立马用得滚瓜烂熟。我来说说并非如此,盗号者一定是有经验的人。盗号之后,操纵者在短短几天内十分熟练地进行了一些操作:例如知道在哪里查看待定的快速删除候选,也非常熟悉中文维基百科的各项快速删除准则,提交了许多快速删除,经手过下列快删:G15孤立页面、G11广告、A3重复条目、A1无定义短条目、O1用户请求删除子页、F6无使用的版权档案、R3错误重定向,所有的选项都是正确的,这一定是经验老道的巡查员以上老手。也非常熟练的关闭存废讨论,甚至找出积压存废讨论进行处理。甚至进阶的管理行为,包含操作白纸保护两条,在在都显示出,这一次的盗号者是一位两三年内曾经或现在担任过本地管理员,且在任期间是非常勤快、经验老到的老手。最不寻常之处,就是模仿人神之间过去曾经解封用户的口吻,解封了曾经担任管理员又操纵过大量傀儡的makecat。别以为这些事情很简单,没经验的人做不出这种程度的。--Jasonzhuocn邀请台湾人加入 Wikimedia Taiwan2015年12月15日 (二) 06:22 (UTC)

提议:将维基百科:账户安全升为指引

修改WP:账户安全指引

本讨论已经结束。请不要对这个存档做任何编辑。
现行条文

避免使用常见密码,诸如123456passwordmeiyoum1ma此类。更详细的清单参见维基百科:常见密码/10000

提议条文

避免使用常见密码,诸如123456password此类。更详细的清单参见维基百科:常见密码/10000

原因:并不是太常见。--【和平至上】💬📝 2018年3月4日 (日) 23:51 (UTC)
@Wong128hk应该雪球,浪费社群精力的提案。--YFdyh000留言2018年3月5日 (一) 04:53 (UTC)
除非本人见到社群有对此类修订从宽之势,不然唯有从严处理。事关早前那个补回《封禁方针》误删也可以类似于此修订,提出来根本是浪费精力,但最终如何轩然大波。为免再来一次,一切从严处理。至少可以维持方针指引系统稳定。--J.Wong 2018年3月5日 (一) 05:08 (UTC)

直接雪球吧,因为甚至后面的清单都没有这一“常见密码”。但因有用户认为应提请至此,那么直接公示七天,如无反对意见,将视为通过。--【和平至上】💬📝 2018年3月5日 (一) 09:19 (UTC)
政策简报中的若干“小更改”不是“从宽之势”吗。所谓“维持方针指引系统稳定”缺乏价值,如果所述方针并不合社群所行,保持稳定只是假的稳定和适用。您可以考虑不回退而只通报公示,如果社群并不认同修改,修改后的方针也并无效力。--YFdyh000留言2018年3月5日 (一) 12:45 (UTC)
个人并不认为方针及指引修订应该使用雪球,因为阁下永远无法预知会否有人反对,就算是最简单提案。至于是否代为提案,当然可以考虑,不过修改者还是应该自行承担提案责任。如果“维持方针指引系统稳定”是没价值,那应该废除此页,容许大家各有各改呀。--J.Wong 2018年3月5日 (一) 16:33 (UTC)
我觉得这类修改哪怕不能雪球,缩短议程时间也是可行的(比如从传统的7天变成3天)。——꧁༺星耀晨曦༻꧂留言2018年3月6日 (二) 04:33 (UTC)
缩短时间意义不大,放在这里约2周才会自动存档。所谓“公示”通过后出现的反对意见,还是要同等对待的,维基人无义务经常翻看客栈。已或未公示就修改的条文是否合理有效,要看社群接受对条文本身的接受度,而不是流程是否达标等。目前的x天公示并无明确共识,只是暂时默认。--YFdyh000留言2018年3月6日 (二) 13:02 (UTC)
阁下这样说不无道理,但这个要说得通,得要有几个前提。但抱歉,中文维基没有。所以若然正式走完“暂时默认”程序以后,还要看社群接受度,那就会是死循环。--J.Wong 2018年3月7日 (三) 02:49 (UTC)
我之前主持的“设置topic名字空间的别名”议题[1],等讨论出大概的情况,就公示1周;然后出现了不同的意见,但经过讨论维持之前的共识,我就只留了3天的缓冲期。——꧁༺星耀晨曦༻꧂留言2018年3月7日 (三) 13:19 (UTC)
我知道是拼音,但是不是很常见啊……尤其i改成1更是不明所以。--【和平至上】💬📝 2018年3月6日 (二) 11:30 (UTC)
i改成1是加强强度吧,很难暴力猜解了,更加不是常用密码。--YFdyh000留言2018年3月6日 (二) 12:46 (UTC)
但其实后面所载之“更详细的清单参见维基百科:常见密码/10000。”中也没有此密码,可见是事实性的错误,对于此类的错误,也要经一般程序,乃属官僚主义的表现,且显得多余。--【和平至上】💬📝 2018年3月6日 (二) 11:37 (UTC)
常见密码的“常见”范围里面有几个是会用中文的人?没有汉语拼音是狠正常的事情。以此说“事实错误”,还不如先看看所谓“事实”常见是哪个样本范围内的常见呢。(本来以为这句是用来假装正经的,不过既然有这么上纲上线的我也……笑。)——Artoria2e5 讨论要完整回复请用ping 2018年3月7日 (三) 02:40 (UTC)
好玩?  囧rz……,但请阁下搜寻“meiyoum1ma”,不论是Google或百度,均不见“meiyoum1ma”是一常用密码。而且我对“留着无害又好玩”这一态度有所保留。--【和平至上】💬📝 2018年3月7日 (三) 09:23 (UTC)
您要觉得这是问题,那就用那个笑话原版的meiyoumima呗。别人给坏密码例子的时候,password变成p@ssw0rd也都有呢。——Artoria2e5 讨论要完整回复请用ping 2018年3月9日 (五) 16:38 (UTC)
@Artoria2e5但“meiyoumima”其实也不是太常用(难道阁下觉得这一密码的常用程度与123456、password相若?)。--【和平至上】💬📝 2018年3月9日 (五) 16:58 (UTC)
您若抱着好玩的态度,我们来加入“我的密码”,“没有密码”,“这是密码”吧。[开玩笑的]--YFdyh000留言2018年3月7日 (三) 12:50 (UTC)

已没有新的反对意见。--【和平至上】💬📝 2018年3月16日 (五) 14:18 (UTC)

权限及账号安全

Wikipedia:账户安全#高权限用户建议加入WP:界面管理员,因为可能修改JS做网络钓鱼、挖矿等,包括全局或用户JS。请各位讨论是否保留其中的管理员,被盗可能严重扰乱页面或讨论,但操作均可查、可撤回。Wikipedia:管理员#设计并修订维基界面是否已过时而应移除。--YFdyh000留言2021年2月12日 (五) 10:42 (UTC)

支持;应该保留,因为是“高权限用户”,管理员是高权限用户;"设计并修订维基界面"没有过时,现在管理员是可以编辑那三处的。--安忆Talk 2021年2月12日 (五) 10:47 (UTC)
看来是我误解,看来管理员也需要保留在内,修改界面消息也能相应地大面积钓鱼。--YFdyh000留言2021年2月12日 (五) 10:58 (UTC)
建议直接雪球通过,事实修订-- Sunny00217  2021年2月15日 (一) 08:16 (UTC)
返回到项目页面“账户安全”。